﻿ÎNVĂŢĂMÂNT PROFESIONAL SUPERIOR V P MELNIKOV, S A Kleymenov, A M Petrakov SECURITATEA INFORMAȚIILOR ȘI PROTECȚIA INFORMAȚIILOR Editat de profesorul S A KLEIMENOV admis Asociaţie educaţional-metodică în învățământul politehnic universitar ca manual pentru studenții instituțiilor de învățământ superior care studiază la specialitatea "Sisteme și tehnologii informaționale" Ediția a -a stereotipă ACADEMA Moscova Centrul de editare "Academia" UDC ( ) BBC ya M Revizor - cap Departamentul "Securitatea Informației" MSTU N E Bauman, Ph D Tehnician, Științe, Conf univ N V Medvedev Melnikov V P M Securitatea informațiilor și protecția informațiilor: manual, manual pentru elevi superior studii, instituții / V P Melnikov, S A Kleymenov, A M Petrakov; sub ed S A Kleymenova - Ed a III-a, șters - M : Centrul de Editură "Academia", - p ISBN - - - - Sunt prezentate principalele prevederi, concepte și definiții de asigurare a securității informaționale a activităților societății, diferitele sale formațiuni structurale, suport organizatoric și juridic, tehnic, metodologic, software și hardware O atenție deosebită este acordată problemelor de suport metodologic pentru activitățile atât ale societății, cât și ale firmelor și sistemelor specifice (OS, DBMS, rețele de calculatoare) care funcționează în organizații și firme Sunt descrise metode criptografice și instrumente software și hardware pentru asigurarea securității informațiilor, protejarea proceselor de prelucrare a informațiilor de infectarea cu virusuri, acțiuni distructive ale programului și modificări Pentru studenții universitari UDC ( ) BBK ya Aspectul original al acestei publicații este proprietatea Academy Publishing Center, iar reproducerea sa în orice mod fără acordul deținătorului drepturilor de autor este interzisă (c) Melnikov V P , Kleymenov S A , Petrakov A M , (c) Centrul de Educație și Publicare "Academie", ISBN - - - - (c) Design Centrul de editare "Academia", CUVÂNT ÎNAINTE În legătură cu întărirea interconexiunii și interdependenței dintre state, se constată o creștere a activității politice a subiecților vieții internaționale, în scopul realizării propriilor interese naționale Ca urmare, lupta geopolitică dintre țări pentru deținerea resurselor naturale și atingerea unui nivel de trai mai ridicat al cetățenilor lor se intensifică Formele acestei lupte sunt diferite, dar înverșunarea și caracterul ei intransigent mărturisesc actualizarea pentru fiecare stat în mod individual a problemelor de asigurare a securității naționale, rezolvarea problemelor de supraviețuire și dezvoltare În același timp, globalizarea și revoluția informațională din secolele XX-XXI în lumea modernă sunt procese geopolitice definitorii, interconectate dialectic Procesele geopolitice și tendințele de dezvoltare a comunității mondiale nu sunt întâmplătoare, ele sunt formate și controlate de statele occidentale lider, în primul rând Statele Unite, în cursul războiului informațional geopolitic (GIP) bazat pe: ) previziunea politică a evoluției evenimentelor cu menținerea tendințelor existente și fără intervenție activă; ) stabilirea obiectivelor; ) formarea strategiei și tacticilor pentru atingerea scopurilor; ) acceptarea (înțelegerea) valorilor de bază ale existenței și priorităților de dezvoltare (rezolvarea problemelor de autoidentificare și alegere civilizațională); ) viziunea și conștientizarea realității existente (modelarea elementelor, conexiunilor și sistemelor cele mai simple); ) căutarea, colectarea și prelucrarea informațiilor; ) analiza strategică multifactorială a situației externe și interne (modelarea structurilor, construirea de modele complexe pe mai multe niveluri de interacțiune a sistemului); ) detectarea, definirea și formularea problemelor; ) determinarea restricțiilor de informații, timp, financiare, organizaționale și alte resurse; ) dezvoltarea de tehnologii, metode și metode specifice de rezolvare a sarcinilor stabilite (pentru atingerea scopurilor); ) formularea de opțiuni alternative de rezolvare a problemelor; ) alegerea unui criteriu de evaluare a eficacității opțiunilor adoptate (implementate) pentru rezolvarea problemelor; ) alegerea celei mai bune soluții și implementarea acesteia; ) analiza reacției la decizia adoptată (implementată); ) prezicerea consecințelor la care va duce implementarea uneia sau alteia alternative; ) corectarea deciziei (introducerea de modificări la toate nivelurile acestei scheme) Războiul informațional geopolitic este una dintre formele moderne de luptă între state, precum și un sistem de măsuri desfășurate de un stat pentru a încălca securitatea informațională (SI) a altui stat, protejând în același timp împotriva acțiunilor similare ale statului oponent Confruntarea informațională este o formă de luptă, care constă în folosirea unor metode, metode și mijloace speciale (politice, economice, diplomatice, militare, tehnice etc ) pentru a influența mediul informațional al părții adverse și pentru a-l proteja în scopul realizării obiectivele stabilite Principalele domenii ale războiului informațional: • politic; • diplomatic; • tehnic; • financiar şi economic; • spiritual; • militare; • informaţii energetice Pentru organizarea GUI în Rusia, a fost adoptată Doctrina securității informațiilor Doctrina Securității Informaționale a Federației Ruse (IB RF), care a apărut aproape simultan cu Carta Okinawa a Societății Informaționale Globale, simbolizează intrarea puternică a Rusiei într-o singură comunitate globală de informații Principalele prevederi ale Doctrinei RF IS reflectă interesele Rusiei într-o lume multipolară și sunt pe deplin în concordanță cu problemele spațiale globale ale omenirii în secolul XXI Doctrina RF IS este un set de opinii oficiale cu privire la scopurile, obiectivele, principiile și direcțiile principale ale întreținerii RF IS Acesta servește drept bază pentru: • pentru formarea politicii de stat în domeniul asigurării securității informaționale a Federației Ruse; • pregătirea propunerilor de îmbunătățire a suportului juridic, metodologic, științific, tehnic și organizatoric al RF IS; • dezvoltarea de programe specifice pentru asigurarea securității informaționale a Federației Ruse Doctrina RF IS dezvoltă conceptul de securitate națională a Federației Ruse în raport cu sfera informațională Începutul secolului XXI marcat de dezvoltarea rapidă a tehnologiei informaţiei în toate sferele vieţii umane În același timp, informația devine din ce în ce mai mult o resursă strategică a statului, o forță productivă și o marfă scumpă Acest lucru nu poate decât să provoace dorința statelor, organizațiilor și cetățenilor individuali de a câștiga avantaje prin stăpânirea informațiilor care nu sunt disponibile pentru oponenți, precum și prin deteriorarea resurselor informaționale ale inamicului (concurentului) și protejarea resurselor lor informaționale Prin urmare, securitatea națională a Federației Ruse depinde în mod esențial de asigurarea securității informațiilor, iar pe parcursul progresului tehnologic, această dependență va crește Severitatea confruntării informaționale interstatale poate fi observată în sectorul apărării, cea mai înaltă formă fiind războaiele informaționale în diverse domenii ale tehnologiei informației, în dorința structurilor criminale de a utiliza ilegal resursele informaționale, în necesitatea asigurării drepturilor cetățenilor la schimbul de informații În același timp, este important să se asigure drepturile constituționale ale cetățenilor de a primi informații fiabile, de a le utiliza în interesul desfășurării activităților legale, precum și de a proteja informațiile care asigură securitatea personală, de a asigura protecția informațiilor în sisteme informatice (CS), care constituie baza materială a informatizării societăţii Suportul IS cuprinzător la toate nivelurile poate fi implementat dacă este creat și funcționează un sistem de securitate a informațiilor, care acoperă întregul ciclu de viață al fluxului de informații - de la ideea și dezvoltarea unui proiect până la eliminarea unui produs - și întregul lanț tehnologic de colectare , stocarea, prelucrarea și emiterea de informații în CS și comunicații Acest tutorial descrie și dezvăluie metodologiile pentru asigurarea securității informațiilor în activitățile societății, statului, firmelor, sistemelor și persoanelor În cap Tabelul prezintă principalele prevederi, concepte și definiții, termeni, metode de asigurare a SI RF, diverse tipuri și surse de amenințări la adresa SI RF În cap , și descriu suportul metodologic organizațional și juridic al securității informațiilor pentru activitățile societății, firmelor și sistemelor în diverse domenii ale ciclului său de viață În cap prezintă software-ul și hardware-ul pentru funcționarea întreprinderilor și, în special, a mijloacelor de protecție a unui computer electronic personal (PC), a software-ului și a datelor acestora, inclusiv în sistemele de operare tipice (OS), sistemele de gestionare a bazelor de date (DBMS), rețelele de calculatoare, Internetul și Intranet Autorii își exprimă recunoștința Academicianului Academiei de Probleme de Securitate, Apărare și Aplicare a Legii, Director General Petrovka-R SRL N N Roldugin pentru furnizarea de materiale privind aplicarea practică a instrumentelor de securitate a informațiilor în rețelele de telefonie și computere LISTA DE ABREVIERI ABP - unitate de alimentare neîntreruptibilă ADM - modulație delta adaptivă AIT - tehnologii informatice automatizate ID apelant - ID automat apelant AWP - loc de muncă automatizat AC - sistem automatizat ASKD - sistem automat de control al accesului ASOD - sistem automat de prelucrare a datelor ACS - sistem de control automat PBX - centrala telefonica abonatului DB - baza de date BPOS - unitate de alimentare și procesare a semnalului BU - unitate de etanșare (semnale senzorului) VZU - dispozitiv de stocare extern VR - realitate virtuală VS - sistem informatic GA - Adunarea Generală (ONU) GIP - confruntare informațională geopolitică GMD - disc magnetic flexibil GTS - centrală telefonică orășenească DZU - dispozitiv de stocare pe disc UE - Uniunea Europeană memorie - dispozitiv de stocare IA - Identificare și Autentificare IS - securitatea informațiilor IR - carte de identitate IPV - informare și impact psihologic IPS - mediu software izolat IC - circuit integrat IT - tehnologia informației KM - modul de comunicare CS - sistem informatic KSA - un set de instrumente de automatizare KSZI - un sistem integrat de protecție a proceselor de prelucrare a informațiilor LAN - rețea locală LS - segment local MB - model de securitate MBO - monitor de securitate a obiectelor MBS - Monitor de securitate a sistemului NIS - schimbarea neautorizată a structurilor NSD - acces neautorizat NSDI - acces neautorizat la informații OBI - securitatea informațiilor OSCE - Organizația pentru Securitate și Cooperare în Europa DBO - Refuzarea serviciului RAM - Memorie cu acces aleatoriu OOA - Analiză orientată pe obiecte ONU - Națiunile Unite OOP - Programare orientată pe obiecte OP - RAM ORK - Distribuția cheii publice OS - sistem de operare PB - politica de securitate CCD - Dispozitiv cuplat cu încărcare ROM - Memorie numai pentru citire PIK - carte de identificare din plastic PIN - număr personal de identificare PC - computer personal Software - software PP - procedura de conversie DRD - utilizator de acces distribuit PS - instrument software PSN - număr pseudo-aleatoriu PC - procesor PEVM - computer electronic personal PEMIN - radiații electromagnetice false și pickup-uri RD - document de ghidare RCS - sistem informatic distribuit RPV - impacturi distructive ale programului RPS - instrument software distructiv SB - strategie de securitate SVT - facilitati informatice SZI - un sistem de protecție a proceselor de prelucrare a informațiilor SZIK - sistem de protecție împotriva cercetării și copierii SKVU - sistem de control al deschiderii dispozitivului Mass media - mass media CSI - Comunitatea Statelor Independente SNPI - mijloc de obținere a informațiilor în secret PKK - sistem de cheie publică SOO - sistem de securitate a obiectelor SPD - sistem de transmisie a datelor ARS - sistem de control acces DBMS - sistem de gestionare a bazelor de date TLF - telefon TPO - software de telecomunicații TS - hardware UVK - dispozitiv de introducere a codului FAPSI - Agenția Federală pentru Comunicații și Informații Guvernamentale FK - control funcțional FPU - filtru la nivel de aplicație CPU - panou de control central CRC - centru de distribuție a cheilor EVT - calculatoare electronice EMP - radiație electromagnetică ESOD - sistem electronic de prelucrare a datelor Capitolul SECURITATEA INFORMAȚIILOR ACTIVITĂȚILOR SOCIETĂȚII ȘI PRINCIPALELE PREVEDERI Procesele geopolitice și economice informaționale ale societății moderne Principalele prevederi de informatizare a societatii si asigurarea securitatii activitatilor acesteia Etapa actuală de dezvoltare a societății se caracterizează prin creșterea rolului interacțiunilor informaționale, care sunt un ansamblu de infrastructuri și entități informaționale care colectează, formează, diseminează și utilizează informații Sfera informațională, fiind un factor de formare a sistemului în viața societății, influențează activ starea componentelor politice, economice, de apărare și a altor componente ale securității Federației Ruse Informatizarea în masă, introducerea și dezvoltarea celor mai noi tehnologii informaționale au dus la o descoperire în domeniile educației, afacerilor, producției industriale, cercetării științifice și vieții sociale Informația a devenit o resursă globală inepuizabilă a omenirii, care a intrat într-o nouă eră în dezvoltarea civilizației - epoca dezvoltării intensive a acestei resurse informaționale Ideea că informația poate fi considerată ca ceva independent a apărut odată cu o nouă știință - cibernetica, care a demonstrat că informația este direct legată de procesele de management și dezvoltare care asigură stabilitatea și supraviețuirea oricăror sisteme Rata în creștere a progresului accelerat în societate este unul dintre cele mai semnificative și mai puțin studiate fenomene sociale O explicație științifică a motivului accelerării ritmului progresului social poate fi dată dacă procesele de dezvoltare din societatea umană sunt considerate din punctul de vedere al abordării sistemic-cibernetice, i e ca activitate de informare și management intenționată a oamenilor cu luarea în considerare obligatorie a factorilor de timp și a aspectelor sociale ale dezvoltării sale, nivelurilor de organizare Abordarea sistem-cibernetică ar trebui să se bazeze pe patru aspecte fundamentale ale ciberneticii: informațional, managerial, organizațional și social Ceea ce este nou în abordarea sistem-cibernetică este că aspectele sale constitutive sunt considerate în unitate dinamică cu luarea în considerare obligatorie în fiecare dintre ele a componentei sociale a managementului Ca rezultat al analizei informațiilor despre interacțiunile cu mediul extern, psihicul uman a format o înțelegere că accelerarea proceselor informaționale, întărirea comunicării și interacțiunile cu scop sporesc vitalitatea individului, a populațiilor și a sistemelor sociale Aceasta a dus la intensificarea proceselor informaționale în societatea umană Lupta neobosită, neîncetată până astăzi, pentru viteza și eficiența circulației și interacțiunii s-a manifestat în mod deosebit în mod deosebit în dezvoltarea intensivă a mijloacelor de transmitere directă a informațiilor prin tipar, telegraf, telefon, radio, televiziune, computer, internet, comunicații mobile , etc Remarcabilul om de știință rus V M Bekhterev a formulat în de legi de bază ale comportamentului grupurilor umane Legea conservării energiei Energia socială sau colectivă este alcătuită din totalitatea energiilor de rezervă ale tuturor persoanelor care participă la munca comună, nu toate mergând în muncă utilă sau reală; o parte din el este cheltuită pentru depășirea inerției echipei, frecarea internă între participanții la muncă, depășirea obstacolelor externe în muncă, indiferent de modul în care acestea se manifestă Legea raportului proporțional dintre viteza de deplasare și forța motrice În fiecare moment dat, societatea, aflată într-un echilibru imobil, este rezultatul interacțiunii condițiilor excitatoare și inhibitorii, iar fiecare mișcare socială se desfășoară în direcția rezultantei acestor și a altor condiții, revărsându-se din nou într-o asemenea formă, care este determinată de predominanța corespunzătoare a forțelor excitatorii asupra influențelor inhibitoare Legea gravitaţiei Legea respingerii Legea contracarării egală cu acțiunea Legea asemănării Legea periodicității sau a ritmului De fapt, fiecare stare din ciclul de viață al existenței sale, supusă legii ritmului, trece mai întâi printr-o perioadă de dezvoltare inițială, urmată de o perioadă de prosperitate, după care urmează unsprezece o perioadă de declin, iar apoi într-o formă reînnoită, statul își poate arăta din nou energia și puterea, să realizeze o nouă înflorire, care va fi din nou urmată inevitabil de declinul său etc Legea inerției Legea mișcării continue și a variabilității Legea disipării energiei sau entropia Legea relativității Legea evoluției Legea diferențierii Legea reproducerii Legea generalizării selective, sau sintezei Legea succesiunii istorice Legea economiei Legea adaptării Legea selecției Legea interacțiunii Legea compensării, sau a substituirii prin simboluri sau semne Legea relaţiilor de dependenţă Legea individualității V M Bekhterev a identificat principalele tipuri de echipe umane (Fig ) Orez Principalele tipuri de echipe umane Cunoașterea modernă a științelor naturii servește ca o condiție prealabilă teoretică și metodologică pentru construirea unei imagini unificate și coerente din punct de vedere logic al lumii, pe baza informațiilor sociale Fenomenul informației sociale a condus societatea la capacitatea de a o utiliza eficient în toate procesele ciclului de viață al societății, și mai ales eficient în probleme de management și interacțiune În conformitate cu abordarea conceptuală a profesorului R F Abdeev, se pot distinge următoarele tipuri de informații: • fizice, inerente proceselor de reflexie în natură anorganică; • biologic, care circulă în natură și formează structurile acesteia; • social, transmis în societatea umană în procesul de comunicare între oameni De asemenea, puteți distinge clase de structuri de informații: • structuri informaţionale naturale de natură anorganică; • structuri informaţionale naturale de natură organică; • structuri informatice artificiale create de activitatea umană intenționată (așa-numita a doua natură, sau noosferă) "Noos" este numele grecesc antic pentru mintea umană, prin urmare noosfera este sfera minții umane Termenul "noosferă" a fost propus în de către matematicianul și filozoful francez Edouard Leroy pentru a fi folosit în descrierea stării biosferei Curând după E Leroy, celebrul paleontolog francez, antropolog și membru al ordinului iezuit Pierre Teilhard de Chardin a început să folosească acest termen Cu toate acestea, în conformitate cu viziunea sa asupra lumii, el a dat termenului "noosferă" o înțelegere ușor diferită, deoarece credea că mintea nu este un rezultat inevitabil al evoluției aparatului gândirii, ci este dată omului de către Dumnezeu V I Vernadsky îi cunoștea personal pe oamenii de știință francezi, dar nu se grăbea să folosească termenul "noosferă" V I Vernadsky a avut nevoie de acest termen doar atunci când a început să dezvolte ideea evoluției biosferei Prima mențiune despre el în scrisori se referă la , iar prima mențiune în presă - în În lucrarea sa "Living Matter and the Biosphere"*, V I Vernadsky își dă înțelegerea noosferei: "Procesul istoric se schimbă radical în fața ochilor noștri Umanitatea, luată în ansamblu, devine o forță geologică puternică Și în fața lui, în fața lui * Vernadsky V I Materia vie și biosfera / V I Vernadsky - M : Nauka, gândire și muncă, problema restructurării biosferei în interesul umanității liber-gânditoare în ansamblu devine Această nouă stare a biosferei, de care ne apropiem fără să o observăm, este noosfera " O altă viziune asupra proceselor informaționale ale lumii din jurul nostru le prezintă ca o știință - informatiologie, care a fost formulată și fundamentată de I I Yuzvishin în lucrarea sa "Fundamentals of Informatiology" * Extinde și aprofundează semnificativ metodologia de studiu și prelucrare a informațiilor La sfârşitul secolului XX atenția elitei politice mondiale față de fenomenul informației sociale este în creștere, deoarece informația socială poate fi un indicator (indicator) al funcționării politicii mondiale, care se bazează în principal pe aspectele socio-economice ale ciclului de viață al statului Informațiile sociale în procesul mondial sunt clasificate după următoarele criterii: • după volumul de circulaţie - la cel regional; naţional; continental; global; • după timpul de circulație - pe termen scurt; termen mediu; termen lung; • după caracteristici - pozitiv, negativ, neutru; • după modalitatea de prezentare a informaţiei - la cea transmisă cu ajutorul mass-media; prin serviciile secrete; prin conexiuni informale; prin surse diplomatice; prin structuri de afaceri; prin retele de calculatoare, telecomunicatii si mobile; • conform scopului informării - pentru convingere; managementul și corectarea procesului decizional; impact; primirea unui răspuns; compromisuri; crearea de noi valori și reguli de interacțiune Academicianul V G Afanasyev a oferit o altă descriere a tipurilor și tipurilor de informații sociale în cartea "Informații sociale"** El a evidențiat tipurile și tipurile de informații sociale Tipuri de informații sociale: • despre trecut; • despre prezent; • despre viitor: predictiv; indicativ; normativ; avertizare; planificat Tipuri de informații sociale: • după orientare: orizontală; vertical (direct - directiv-normativ, invers - control și raportare); • după volumul de circulaţie: intern; extern • Yuzvishin I I Fundamentele informatiologiei: manual / I I Yuzvishin - Ed a -a, revizuită si suplimentare - M : Superior, școală, ** Afanasiev V G Informații sociale / V G Afanasiev - M : Nauka, Potrivit lui N A Berdyaev*, informația socială este determinată de matricea tradițională a conștiinței, care în stadiul actual se bazează pe triada: respect de sine, autoorganizare și autorealizare În secolul XX gestionarea fluxurilor de informații devine un factor decisiv în câștigarea, menținerea și menținerea conducerii și puterii Poate primii care au realizat acest lucru au fost americanii Ei au creat un sistem oficial la nivel național numit "Indicatori sociali" Sistemul "Indicatori sociali" este format din opt blocuri, inclusiv de indicatori Numărul de indicatori este distribuit pe blocuri în următorul raport: ) sănătate - ; ) siguranța publică - ; ) educație - ; ) muncă (alegerea valorilor - satisfacția în muncă) - ; ) venit - ; ) locuințe - ; ) agrement - recreere (adică odihnă) - I; ) demografie - Spre deosebire de sistemul consacrat de informații sociale actuale, organizarea unui sistem de informații sociale promițătoare este încă la început Dar primele rezultate ale impactului său asupra politicii SUA sunt deja disponibile În special, este caracteristic faptul că unul dintre obiectivele principale ale strategiei de securitate națională a SUA din ultimele decenii a fost protecția stilului de viață Cu ajutorul sistemului național "Indicatori sociali", elita politică americană reușește să determine principalii parametri ai stilului de viață al cetățenilor obișnuiți din SUA Acest lucru permite elitei politice americane să efectueze o analiză strategică a stării mentale nu numai a americanilor, să răspundă rapid la problemele emergente în "bunăstarea socială a națiunii", să stabilească sursele de informații negative externe și interne și psihologice influențe într-un număr destul de semnificativ de țări ale lumii Astfel, în Statele Unite, și la sfârșitul secolului XX, a fost creat un sistem eficient de diagnosticare a informațiilor sociale interne (în interesul autorităților) crearea sistemelor de diagnosticare a informațiilor sociale externe a început cu ajutorul sistemelor informaționale internaționale (Internet etc ), USIA etc În prezent, sistemul de diagnostic al informaţiei sociale este o verigă cheie în cursul confruntării informaţionale strategice între elitele politice naţionale * Berdyaev N A Soarta Rusiei / N A Berdyaev - M : Politizdat, Potrivit doctorului în psihologie M N Reshetnikov, baza conducerii americane este, de asemenea, implementarea unei politici speciale de atragere a tinerilor talentați și a elitei științifice de pe toate continentele în țară, indiferent de naționalitate și rasă, inclusiv crearea de condiții speciale pentru ca aceștia să poată ramane in Statele Unite Studiile fundamentale efectuate în secolul al XX-lea au fost puse într-o politică specială: ) se determină numărul de oameni capabili să genereze noi idei de descoperire (în știință, cultură, management etc ), care în orice populație națională este foarte limitat și nu depășește %; ) s-a stabilit că elita intelectuală a societății s-a format de-a lungul secolelor și mileniilor și este un sistem care se reproduce singur și extrem de fragil; ) s-a stabilit că un intelectual este un tip de personalitate special, într-o oarecare măsură artificial, pentru a cărui manifestare este în această calitate care se impun o serie de condiţii speciale: • prezenţa înclinaţiilor (factor genetic) - marea majoritate a intelectualilor sunt descendenţi direcţi ai părinţilor la fel de inteligenţi; • imersiune cât mai timpurie (de la ani) într-un mediu familial sau profesional cu o înaltă intelectualitate, de o anumită orientare (chimie, fizică, medicină, legislație etc ), numit "factor specific de cercetare socială"; • cât mai devreme (până la ani) identificarea abilităților și înclinațiilor predominante care au perioadele lor de "manifestare" (dacă o anumită abilitate nu a fost observată și dezvoltarea ei nu a fost începută în această perioadă, atunci se poate fi pierdut pentru totdeauna); • prezența unor profesori talentați (un copil dotat, cufundat în mediul educațional obișnuit, devine în majoritatea cazurilor foarte rapid mediu și, ca talent, se pierde pentru totdeauna); • lipsa problemelor materiale și cotidiene la o persoană supradotată Marea majoritate a indivizilor supradotați se disting printr-un nivel ridicat de stima de sine, sensibilitate excesivă la orice factori psiho-traumatici, sunt apolitici, nu sunt înclinați să coopereze (inclusiv cu colegii, oficialii guvernamentali etc ) O parte semnificativă a indivizilor înalt supradotați se remarcă printr-un dinamism moral specific (lipsa înclinației de a respecta normele și regulile acceptate în societate, inclusiv în domeniul comportamentului sexual etc ) Pe baza acestor studii, în Statele Unite în ultimele decenii, sistemul de invitare și acordare de granturi solide școlarilor talentați, stagiari, absolvenți și doctoranzi din țări străine, sistemul de stat de identificare a copiilor talentați, a fost extrem de activ O caracteristică a stării proceselor de organizare, management și utilizare a informațiilor sociale în Rusia modernă este că aceste procese sunt la început, adică formarea (organizațională, teoretică și practică) atât a complexului de informații sociale actual, cât și a viitorului Experții ruși consideră că elita politică a Rusiei are nevoie de propriul sistem național de analiză a informațiilor sociale (actuale și viitoare), iar resursele informaționale ale unui astfel de sistem trebuie protejate în mod fiabil de impactul negativ al informațiilor de la oponenții geopolitici (este important să se excludă complet) posibilitatea înlocuirii sau distrugerii informațiilor sociale cu privire la cele mai importante probleme ale modului de viață al poporului rus) În cadrul acestor programe au fost întreprinși anumiți pași pentru crearea unui sistem de stat rusesc pentru identificarea copiilor talentați, stimularea activității lor creative etc Rusia trebuie să fie pregătită pentru o confruntare informațional-psihologică globală fără compromisuri a elitelor mondiale (adică protejarea matricelor conștiinței rușilor de fluxurile de informații negative), inclusiv în cursul proceselor electorale În acest sens, importanța și volumul muncii informaționale și analitice este în creștere semnificativă Pentru a organiza monitorizarea informațională a matricelor de conștiință ale elitei politice și ale populației Rusiei, este necesar un sistem de analiză strategică a informațiilor sociale din Rusia Un astfel de sistem ar trebui să efectueze analize la diferite niveluri (federal, regional, local) Rezultatele acestei monitorizări ar trebui luate în considerare în mod constant la organizarea și desfășurarea campaniilor electorale Un astfel de sistem ar trebui să fie una dintre verigile cheie în diagnosticarea stării mediului informațional al societății și al întregului stat rus Până de curând, în teorie și practică, accentul principal era pe asigurarea securității militare a statelor Astăzi, limitările acestei abordări au devenit deja evidente, întrucât revoluția științifică și tehnologică a dus la crearea unei societăți informaționale, iar informația este principalul instrument de putere Alvin și Heidi Toffler, gânditori sociali americani de renume mondial, în cartea "Crearea unei noi civilizații" zarea Politica celui de-al treilea val"* acordă o atenție deosebită tehnologiilor informaționale: "Astăzi alinierea forțelor în lume s-a schimbat Ne îndreptăm către o structură de putere complet diferită, împărțind lumea nu în două, ci în trei civilizații în război opuse bine definite Simbolul Primului, ca și înainte, este o sapă, al doilea este un transportor, iar al treilea este un computer De menționat că problema asigurării securității informațiilor în țara noastră pentru o lungă perioadă de timp nu numai că nu a fost pusă în discuție, ci a fost de fapt ignorată Totodată, se credea că securitatea informațională a țării ar putea fi asigurată prin secretul total și diverse restricții Abia acum statul rus începe să adopte o abordare serioasă și responsabilă a problemei determinării și apărării intereselor vitale, amenințărilor reale și potențiale în sfera informațională Elita politică și tehnică rusă începe să realizeze nevoia de a rezolva problemele asigurării securității informațiilor Componente ale intereselor naționale ale Federației Ruse în sfera informațională Pe baza intereselor naționale ale Federației Ruse în sfera informațională, se formează sarcinile strategice și actuale ale politicii interne și externe a statului pentru a asigura securitatea informațiilor Sunt identificate patru componente principale ale intereselor naționale ale Federației Ruse în sfera informațională Prima componentă include respectarea drepturilor și libertăților constituționale ale unei persoane și ale unui cetățean în domeniul obținerii de informații și al utilizării acestora, asigurarea reînnoirii spirituale a Rusiei, păstrarea și întărirea valorilor morale ale societății, tradițiile patriotismului și umanismul și potențialul cultural și științific al țării A doua componentă include suport informațional al politicii de stat a Federației Ruse, legat de aducerea de informații fiabile despre politica de stat a Federației Ruse, poziția sa oficială cu privire la evenimentele semnificative din punct de vedere social din viața rusă și internațională publicului rus și internațional În același timp, este necesar să se ofere cetățenilor acces la resursele informaționale deschise ale statului A treia componentă include dezvoltarea tehnologiilor informaționale moderne, industria internă a informației * Toffler E Crearea unei noi civilizații Politica celui de-al treilea val / E Toff-fleur, X Toffler - M : Gardarika, informației, inclusiv în industria informatizării, telecomunicațiilor și comunicațiilor, satisfacerea nevoilor pieței interne cu produsele sale și intrarea acestor produse pe piața mondială, precum și asigurarea acumulării, conservării și utilizării eficiente a resurselor informaționale interne În condițiile moderne, numai pe această bază este posibil să se rezolve problemele creării de tehnologii intensive în știință, reechipării tehnologice a industriei și multiplicarea realizărilor științei și tehnologiei interne Rusia trebuie să-și ocupe locul cuvenit printre liderii mondiali în industria microelectronică și a computerelor A patra componentă include protecția resurselor informaționale împotriva accesului neautorizat, asigurând securitatea sistemelor informaționale și de telecomunicații, ambele deja desfășurate și în curs de creare pe teritoriul Rusiei Securitatea informațională a Federației Ruse este înțeleasă ca starea de protecție a intereselor sale naționale în sfera informațională, determinată de totalitatea intereselor echilibrate ale individului, societății și statului Interesele individului în sfera informațională constau în punerea în aplicare a drepturilor constituționale ale unei persoane și ale cetățeanului de a accesa informații, de a utiliza informații în interesul desfășurării unor activități neinterzise de lege, de dezvoltare fizică, spirituală și intelectuală, precum precum și în protejarea informațiilor care asigură securitatea personală Interesele societății în sfera informațională sunt asigurarea intereselor individului în acest domeniu, consolidarea democrației, crearea unui stat social juridic, realizarea și menținerea armoniei publice și reînnoirea spirituală a Rusiei Interesele statului în sfera informațională sunt de a crea condiții pentru dezvoltarea armonioasă a infrastructurii informaționale rusești, pentru implementarea drepturilor și libertăților constituționale ale omului și cetățeanului în domeniul obținerii de informații și al utilizării acestora în vederea asigurării inviolabilitatea ordinii constituționale, suveranitatea și integritatea teritorială a Rusiei, stabilitatea politică, economică și socială, în asigurarea necondiționată a legii și ordinii, dezvoltarea cooperării internaționale egale și reciproc avantajoase Componentele principale în intensificarea proceselor informaționale în abordarea sistem-cibernetică și socială a formalizării cursului dezvoltării sociale sunt: • creșterea constantă a vitezei schimbului de informații; • creșterea cantității de informații obținute și transmise; • accelerarea proceselor de prelucrare a informaţiei; • extinderea utilizării controlului adaptiv (folosirea feedback-ului); • extinderea prezentării vizuale (vizuale) a informațiilor în procesele de management; • creșterea rapidă a echipamentelor tehnice de muncă managerială; • luarea în considerare a particularităților interacțiunilor socio-psihologice ale societății și formațiunilor umane Principalele proprietăți și caracteristici ale securității informațiilor pentru funcționarea sistemelor de management al informațiilor ale întreprinderilor și firmelor Informațiile create, consumate și stocate în procesul de funcționare și interacțiune a sistemelor sociale, tehnice și organizatoric-tehnice între ele și cu mediul extern (cel mai adesea este același lucru) pot fi împărțite condiționat în două tipuri principale: interne și extern Informațiile interne sunt informații structurale sau transformative (aceasta din urmă denumire este adecvată pentru un anumit tip de structuri organizatorice și tehnice, de exemplu, pentru sistemele de control automatizate (ACS)) Informațiile structurale interne sunt create, consumate și distribuite de sistemul însuși Utilizarea acestuia este autorizată numai pentru consumul casnic, adică pentru gestionarea elementelor și subsistemelor, asigurarea proceselor de producție principale și auxiliare etc Aceste informații conțin matrice de date, documente și fișiere care nu sunt destinate a fi transferate în mediul extern sau prin mediul extern Informațiile externe circulă în canalele de schimb cu alte sisteme care alcătuiesc împreună mediul extern În procesul de schimb de informații cu mediul extern, informații care reprezintă principalul produs al activității sistemului, precum și informații de control despre starea sistemului (financiare, de raportare, planificare etc ), informații legale și de reglementare care reglementează condițiile pentru pot participa la funcționarea sistemului, publicitatea și alte informații În unele cazuri, informațiile externe includ și informații interne, la care accesul neautorizat se realizează prin canale tehnice de scurgere Definirea formelor calitativ diferite de manifestare a informațiilor din cele două tipuri indicate poate fi realizată pe baza unei analize a modelului procesului de control al unui obiect dinamic complex În conformitate cu acest model (Fig ), controlul procesului principal de funcționare P (S) al obiectului dinamic S se realizează într-o buclă închisă, în care procesele Orez Structura modelului de control pentru un obiect dinamic complex sy Ph і , , , iar mesajele circulă (există un schimb de matrice de informații, documente) Q Un set de procese P combină observarea, măsurarea, identificarea, elaborarea deciziilor de control, coordonarea acțiunilor comune, schimbul de informații între subsisteme - participanţi la procesul P (S) de funcţionare a unui obiect dinamic În același timp, informațiile conținute în mesajele Q se manifestă sub următoarele forme Informații informative, care sunt conținute în tablourile e {Go> •••, Qe} și conține toate informațiile despre sistemul și proprietățile procesului controlat Р( ), precum și despre managerii care acționează asupra acestuia ( о у, X(t )) și influențe distorsionante (destabilizatoare) ale informațiilor Qn ale mediului extern Transformarea informațiilor combinate de matrice prn și e , , Aceste informații sunt conținute în dispozitivele și subsistemele sistemului Transformarea informațiilor în matrice X* astfel încât /(x) să coincidă cu rezultatul aplicării algoritmului la obiectul x Atunci f se numește funcție calculabilă, care este dată de algoritm Să se ia în considerare un set inițial de obiecte și să se stabilească o corespondență unu-la-unu între această mulțime și mulțimea de cuvinte binare de lungime finită, adică cuvinte de forma x = Xj; x ; ; xn, unde x, este sau , i e , , n Corespondența stabilită între mulțimi ne permite să considerăm ca obiecte doar cuvintele binare fără pierderi semnificative de generalitate Modulul |x| denotă lungimea cuvântului x Cuvântul binar final poate fi descris în așa fel încât acest cuvânt să poată fi restabilit din descrierea sa De exemplu, intrarea este descrisă prin text: două unități, trei zerouri - și așa mai departe de trei ori Cuvintele diferite au descrieri diferite, dar un cuvânt poate avea o mulțime de descrieri Apare o întrebare firească: cum să comparați descrierile unui cuvânt binar între ele pentru a alege cea mai simplă dintre aceste descrieri? Putem presupune că descrierea cuvântului binar x este dată nu într-o formă verbală arbitrară, ci sub forma unui cuvânt binar - un argument al unei funcții calculabile (până acum fixate) f Până în prezent, nu sunt impuse restricții asupra /: nu poate fi definit pe toate argumentele binare Nu la fiecare doi a unui cuvânt arian x, după cum se poate dovedi, există o preimagine binară (un cuvânt p astfel încât f(p) = x) Pentru un cuvânt binar x există o mulțime Pj(x) a tuturor cuvintelor binare astfel încât f(p) = x (această mulțime poate fi, de asemenea, goală pentru un f dat) Lăsa ^z(x) = - min Iр\, dacă Pf nu este gol, piP/W ' oo dacă Pf este gol Kf(x) poate fi numită complexitatea cuvântului x în raport cu f Astfel, complexitatea cuvântului x în raport cu f este lungimea celui mai scurt cuvânt binar care conține o descriere completă a cuvântului x pentru un mod fix de restabilire a cuvintelor din descrierile lor (adică, pentru o funcție fixă f) Dacă nu există o astfel de descriere pentru o anumită metodă de recuperare, atunci complexitatea cuvântului x în / se presupune a fi infinit de mare Sunt posibile și alte definiții ale informațiilor, care sunt folosite în aplicații private și cu atât mai puțin utile pentru descrierea proceselor informaționale în sisteme organizaționale complexe și organizatoric-tehnice (măsura informațională a complexității modelului structural-funcțional pentru descrierea unui obiect conform A V Shileiko) și V F Kochnev, măsura informațională a incertitudinii deciziei conform N N Moiseev) O altă modalitate de a determina cantitatea de informații este de a considera informația ca un corp de cunoștințe (abordarea tezaurului) Conform acestei metode, propusă de Yu A Schrader, cantitatea de informații pe care o persoană o extrage dintr-un mesaj poate fi estimată prin gradul de schimbare a cunoștințelor sale Cunoștințele structurate prezentate sub formă de concepte și relații dintre ele se numesc tezaur Structura tezaurului este ierarhică Conceptele și relațiile, fiind grupate, formează alte concepte și relații mai complexe Cunoașterea unui individ, organizație, stat formează tezaurile corespunzătoare Tezaurile structurilor organizatorice formează tezauri ale elementelor lor constitutive Astfel, tezaurul unei organizații formează, în primul rând, tezaurul angajaților, precum și alți purtători de informații, precum documente, echipamente, produse etc Transferul de cunoștințe necesită ca tezaururile elementului emitent și receptor să se intersecteze În caz contrar, proprietarii de tezauri nu se vor înțelege Tezaurile unei persoane și ale oricăror structuri organizaționale sunt capitalul lor Prin urmare, proprietarii de tezaur se străduiesc să-și mențină și să-și mărească tezaurul Mărirea tezaurului Este prin instruire, cumpărarea unei licențe, invitarea angajaților calificați sau furtul de informații În societate se observă două tendințe: dezvoltarea tezaurilor elementelor individuale (oameni, structuri organizate) și alinierea tezaurilor elementelor societății Alinierea tezaurilor are loc atât ca rezultat al activității intenționate (de exemplu, antrenament), cât și în mod spontan Alinierea spontană a tezaurilor are loc datorită transferului aleatoriu de cunoștințe, inclusiv ilegale În metoda metrologică, cantitatea de informații este măsurată folosind conceptul de "cantitate de informații" În acest caz, cantitatea de informații poate fi măsurată prin numărul de biți (octeți), numărul de pagini de text, lungimea unei benzi magnetice cu înregistrare video sau audio etc Cu toate acestea, este clar că o pagină poate conține mai multe sau mai puține informații din cel puțin două motive În primul rând, diferiți oameni pot plasa pe o pagină o cantitate diferită de informații despre același obiect, proces sau fenomen al lumii materiale În al doilea rând, diferiți oameni pot extrage din același text o cantitate diferită de informații utile și ușor de înțeles pentru ei Chiar și aceeași persoană în diferiți ani de viață primește o cantitate diferită de informații atunci când citește aceeași carte Ca urmare a copierii fără modificarea parametrilor informaționali ai suportului, cantitatea de informații nu se modifică, iar prețul acesteia scade Un exemplu de copiere fără modificarea parametrilor informațiilor este copierea textului folosind copiatoare de înaltă calitate În absența unor erori ale copiatorului, textul copiat va conține exact aceleași informații ca și textul original Dar atunci când copiați imagini, distorsiunea nu poate fi evitată Ele pot fi doar mari sau mici În conformitate cu legile pieței, cu cât apar mai multe bunuri, cu atât este mai ieftin Această lege este complet corectă și se referă la copiile informațiilor Efectul acestei legi poate fi urmărit pe exemplul distribuirii pirateriei de produse software, produse video etc Subiectul protecției îl reprezintă informațiile stocate, prelucrate și transmise către CS Caracteristicile acestor informații sunt: • reprezentarea binară a informațiilor în cadrul sistemului, indiferent de natura fizică a purtătorilor informațiilor originale; • grad înalt de automatizare a prelucrării și transmiterii informațiilor; • concentrarea unei cantităţi mari de informaţii în CS Astfel, cele mai comune și constructive definiții ale informației, care deschid posibilitatea introducerii măsurilor sale cantitative, nu oferă posibilitatea de a măsura și cuantifica valoarea (caracteristicile pragmatice) și conținutul acesteia (caracteristicile semantice) Se obișnuiește să se facă referire la caracteristicile pragmatice la o gamă largă de indicatori de calitate a informațiilor, legați în principal de atitudinea subiectului față de informațiile primite ca produs specific Calitățile și caracteristicile pragmatice ale informațiilor pot fi împărțite în trei grupuri principale Primul grup se formează în raport cu destinatarul (consumatorul) cu informația Include caracteristicile utilității informațiilor pentru destinatar, gradul influenței acesteia asupra stării receptorului (destinatarului), de exemplu, intensitatea primirii etc Al doilea grup include informații despre calitatea conexiunii sale cu sursa Acestea sunt caracteristici ale importanței, materialității informațiilor generate pentru funcționarea sursei și indicatori ai intensității generării informațiilor Al treilea grup se caracterizează prin calitatea proprie (internă) a informațiilor Aceasta este cantitatea de informații, acționând ca o caracteristică calitativă: adevăr, redundanță a informațiilor, cantitatea de informații, completitudine și grad de generalizare În prezent, există mai multe încercări mai mult sau mai puțin reușite de a introduce și utiliza indicatori cantitativi pentru a evalua caracteristicile pragmatice ale informațiilor Utilitatea informațiilor este determinată de măsura în care aceasta oferă destinatarului atingerea scopurilor sale Această caracteristică este strâns legată de o măsură cantitativă, deoarece cu cât incertitudinea este mai mică, cu atât este mai mare probabilitatea unei decizii corecte și, în consecință, atingerea scopului de gestionare și exploatare a sistemului Desigur, atunci când se determină utilitatea informațiilor, ar trebui să se țină seama de adevărul acesteia Prin urmare, utilitatea informațiilor false care îngreunează atingerea scopului poate fi doar zero sau negativă Asigurarea cuprinzătoare a securității informațiilor de stat și structuri organizatorice Principalele prevederi ale politicii de stat pentru asigurarea SI a Federației Ruse Furnizarea IS cuprinzătoare, conform Doctrinei IS a Federației Ruse, implică un set interconectat de organizații și juridice, fizice, sociale, spirituale, informaționale, metode, măsuri și mijloace software-matematice și tehnice care asigură funcționarea normală a statului, structurilor, populației, firmelor și întreprinderilor acestuia atât pe teritoriul său, cât și în spațiul său, cât și în relațiile interstatale, indiferent de starea statului - pașnică muncă sau timp de război Prin urmare, este recomandabil să se ia în considerare prevederea RF IS așa cum este recomandată de Doctrina RF IS, din punctul de vedere al unei abordări sistematice Politica de stat pentru asigurarea SI a Federației Ruse determină principalele domenii de activitate ale autorităților statului federal și ale autorităților entităților constitutive ale Federației Ruse în acest domeniu, procedura de stabilire a obligațiilor acestora de a proteja interesele Federației Ruse în sfera informațională în cadrul activităților lor și se bazează pe menținerea unui echilibru de interese ale individului, societății și statelor în sfera informațională Politica de stat de asigurare a SI a Federației Ruse se bazează pe următoarele principii de bază: • respectarea Constituției Federației Ruse, a legislației Federației Ruse, a principiilor și normelor de drept internațional general recunoscute în implementarea activităților de asigurare a securității informaționale a Federației Ruse; • deschidere în implementarea funcțiilor autorităților statului federal, autorităților de stat ale entităților constitutive ale Federației Ruse și asociațiilor obștești, oferind informarea publicului despre activitățile acestora, ținând cont de restricțiile stabilite de legislația Federației Ruse; • egalitatea juridică a tuturor participanților la procesul de interacțiune informațională, indiferent de statutul lor politic, social și economic, bazată pe dreptul constituțional al cetățenilor de a căuta, primi, transmite, produce și difuza liber informații în orice mod legal; • dezvoltarea prioritară a tehnologiilor interne moderne de informare și telecomunicații, producție de hardware și software capabile să asigure îmbunătățirea rețelelor naționale de telecomunicații, conectarea acestora la rețelele globale de informații pentru a respecta interesele vitale ale Federației Ruse Statul, în procesul de implementare a funcțiilor sale de asigurare a SI al Federației Ruse, desfășoară următoarele activități și acțiuni: • efectuează o analiză și o prognoză obiectivă și cuprinzătoare a amenințărilor la adresa securității informațiilor din Federația Rusă, elaborează măsuri pentru asigurarea acesteia; • organizează activitatea organelor legislative (reprezentative) și executive ale puterii de stat ale Federației Ruse pentru a implementa un set de măsuri menite să prevină, să respingă și să neutralizeze amenințările la adresa RF IS; treizeci • sprijină activitățile asociațiilor obștești care vizează informarea obiectivă a populației cu privire la fenomenele semnificative din punct de vedere social ale vieții publice, protejând societatea de informații distorsionate și nesigure; • exercită controlul asupra dezvoltării, creării, dezvoltării, utilizării, exportului și importului de instrumente de securitate a informațiilor prin certificarea acestora și licențierea activităților din domeniul securității informațiilor; • urmărește politica protecționistă necesară față de producătorii de instrumente de informatizare și protecție a informațiilor de pe teritoriul Federației Ruse și ia măsuri pentru a proteja piața internă de pătrunderea instrumentelor de informatizare și a produselor informaționale de calitate scăzută în aceasta; • contribuie la asigurarea accesului persoanelor fizice și juridice la resursele informaționale mondiale, la rețelele informaționale globale; • formulează și implementează politica de informare de stat a Rusiei; • organizează dezvoltarea unui program federal de asigurare a securității informațiilor în Federația Rusă, care reunește eforturile organizațiilor statale și nestatale în acest domeniu; • contribuie la internaționalizarea rețelelor și sistemelor informaționale globale, precum și la intrarea Rusiei în comunitatea informațională mondială în condițiile unui parteneriat egal Îmbunătățirea mecanismelor legale de reglementare a relațiilor publice apărute în sfera informațională este o direcție prioritară a politicii de stat în domeniul asigurării securității informațiilor în Federația Rusă Sprijinul legal al securității informaționale a Federației Ruse ar trebui să se bazeze în primul rând pe respectarea principiilor legalității, echilibrul intereselor cetățenilor, societății și statului în sfera informațională Respectarea principiului legalității necesită ca organele guvernamentale federale și organismele guvernamentale ale entităților constitutive ale Federației Ruse, atunci când rezolvă conflictele care apar în sfera informațională, să fie strict ghidate de actele legislative și de alte acte juridice de reglementare care reglementează relațiile în acest domeniu Respectarea principiului echilibrării intereselor cetățenilor, societății și statului în sfera informațională presupune consolidarea legislativă a priorității acestor interese în diverse domenii ale vieții societății, precum și utilizarea unor forme de control public asupra activităților ale autorităților statului federal și ale autorităților de stat ale entităților constitutive ale Federației Ruse Punerea în aplicare a garanțiilor drepturilor și libertăților constituționale ale omului și cetățeanului privind activităţile din sfera informaţională este cea mai importantă sarcină a statului în domeniul securităţii informaţionale Dezvoltarea mecanismelor de susținere juridică a RF IS include măsuri de informare a sferei juridice în ansamblu Cooperarea internațională a Federației Ruse în domeniul securității informațiilor este o parte integrantă a interacțiunii politice, militare, economice, culturale și de altă natură între țările care fac parte din comunitatea mondială O astfel de cooperare ar trebui să contribuie la îmbunătățirea securității informaționale a tuturor membrilor comunității mondiale, inclusiv a Federației Ruse Particularitatea cooperării internaționale a Federației Ruse în domeniul securității informațiilor constă în faptul că se desfășoară în contextul concurenței internaționale sporite pentru deținerea de resurse tehnologice și informaționale, dominație pe piețele de vânzare în contextul continuării încearcă să creeze o structură de relații internaționale bazată pe soluții unilaterale la problemele cheie ale politicii mondiale, contracarând întărirea rolului Rusiei ca unul dintre centrele influente ale lumii multipolare emergente, întărirea decalajului tehnologic dintre puterile de conducere ale lumii și dezvoltarea capacităților lor de a crea "arme informaționale" Toate acestea pot duce la o nouă etapă în desfășurarea unei curse a înarmărilor în sfera informațională, o creștere a amenințării de penetrare sub acoperire și operațional-tehnică a serviciilor de informații străine în Rusia, inclusiv utilizarea infrastructurii informaționale globale Principalele domenii de cooperare internațională ale Federației Ruse în domeniul sprijinului SI sunt: • interzicerea dezvoltării, distribuirii și utilizării "armelor informaționale"; • asigurarea securității schimbului internațional de informații, inclusiv a siguranței informațiilor în timpul transmiterii acestora prin rețelele naționale de telecomunicații și canalele de comunicații; • coordonarea activităților organelor de drept din țările aparținând comunității mondiale pentru prevenirea infracțiunilor informatice; • prevenirea accesului neautorizat la informații confidențiale din rețelele bancare internaționale de telecomunicații și sistemele de suport informațional ale comerțului mondial, la informațiile organizațiilor internaționale de aplicare a legii care luptă împotriva crimei organizate transnaționale, terorismului internațional, răspândirea drogurilor și substanțelor psihotrope, comerțului ilegal cu arme și fisionabile materiale, trafic de persoane În desfășurarea cooperării internaționale a Federației Ruse în domeniul securității informațiilor, o atenție deosebită trebuie acordată problemelor de interacțiune cu statele membre ale Comunității Statelor Independente Sistemul de întreținere RF IS, principalele sale funcții și baze organizaționale Sistemul de întreținere RF IS este conceput pentru a implementa politica de stat în acest domeniu Principalele funcții ale sistemului de suport RF IS sunt: • dezvoltarea unui cadru legal de reglementare în domeniul asigurării securității informațiilor în Federația Rusă; • crearea condițiilor pentru exercitarea drepturilor cetățenilor și asociațiilor obștești la activități permise de lege în sfera informațională; • determinarea și menținerea unui echilibru între nevoia cetățenilor, a societății și a statului în schimbul liber de informații și restricțiile necesare privind difuzarea informațiilor; • evaluarea stării IS RF, identificarea surselor de amenințări interne și externe IS, determinarea domeniilor prioritare pentru prevenirea, oprirea și neutralizarea acestor amenințări; • coordonarea activităților autorităților federale ale statului și ale altor organe de stat care rezolvă sarcinile de asigurare a RF IS; • controlul asupra activităților autorităților statului federal și autorităților de stat ale entităților constitutive ale Federației Ruse, comisiilor de stat și interdepartamentale implicate în rezolvarea sarcinilor de asigurare a securității informațiilor din Federația Rusă; • prevenirea, depistarea și reprimarea infracțiunilor legate de încălcări ale intereselor legitime ale cetățenilor, societății și statului în sfera informațională, privind punerea în aplicare a acțiunilor judiciare în cazurile de infracțiuni în acest domeniu; • dezvoltarea infrastructurii informaţionale autohtone, precum şi a industriei de telecomunicaţii şi mijloace informaţionale; • creșterea competitivității mijloacelor informaționale pe piețele interne și externe; • organizarea dezvoltării programelor SI federale și regionale și coordonarea activităților pentru implementarea acestora; • implementarea unei politici tehnice unificate în domeniul întreținerii RF IS; • organizarea cercetării științifice fundamentale și aplicate în domeniul întreținerii RF IS; • protecția resurselor informaționale ale statului, în primul rând în autoritățile statului federal și autoritățile de stat ale entităților constitutive ale Federației Ruse, la întreprinderile complexului de apărare; • asigurarea controlului asupra creării și utilizării instrumentelor de securitate a informațiilor prin licențierea obligatorie a activităților din acest domeniu și certificarea instrumentelor de securitate a informațiilor; • îmbunătățirea și dezvoltarea unui sistem unificat de pregătire a personalului utilizat în domeniul securității informațiilor din Federația Rusă; • implementarea cooperării internaționale în domeniul securității informațiilor, reprezentarea intereselor Federației Ruse în organizațiile internaționale relevante Competența autorităților federale ale statului, autorităților de stat ale entităților constitutive ale Federației Ruse, altor organisme de stat care fac parte din sistemul de întreținere RF IS și subsistemele acestuia este determinată de legile federale, actele juridice de reglementare ale Președintelui Federației Ruse și Guvernul Federației Ruse Președintele Federației Ruse conduce, în limitele puterilor sale constituționale, organele și forțele pentru a asigura securitatea informațională a Federației Ruse; autorizează acțiuni pentru asigurarea RF IS; în conformitate cu legislația Federației Ruse, formează, reorganizează și desființează organele și forțele subordonate acestuia pentru a asigura SI al Federației Ruse; stabilește în mesajele sale anuale adresate Adunării Federale a Federației Ruse domeniile prioritare ale politicii de stat în domeniul asigurării securității informaționale a Federației Ruse, precum și măsurile de implementare a Doctrinei securității informaționale a Federației Ruse Sistemul de suport RF IS poate include subsisteme (sisteme) axate pe rezolvarea problemelor locale din acest domeniu Metode generale de furnizare RF IS Metodele generale de furnizare RF IS sunt subdivizate în juridice, organizatorice și tehnice și economice Metodele legale de asigurare a SI RF includ elaborarea de acte juridice de reglementare care reglementează relațiile în sfera informațională și documente metodologice de reglementare privind aspectele asigurării SI RF Metodele organizatorice și tehnice de furnizare a SI RF sunt în principal crearea și îmbunătățirea sistemului de furnizare a SI RF Metodele economice de furnizare RF IS includ: • dezvoltarea programelor de sprijin RF IS și stabilirea procedurii de finanțare a acestora; • îmbunătățirea sistemului de finanțare a lucrărilor legate de implementarea metodelor juridice și organizatorice și tehnice de protejare a proceselor de prelucrare a informațiilor, crearea unui sistem de asigurare a riscurilor informaționale ale persoanelor fizice și juridice Caracteristici ale întreținerii RF IS în diverse sfere ale societății B RF este una dintre componentele securității naționale a Federației Ruse și are un impact asupra protecției intereselor naționale ale Federației Ruse în diferite sfere ale vieții societății și ale statului Amenințările și practicile de securitate RF IS sunt comune acestor zone Fiecare dintre ele are propriile caracteristici de întreținere IS legate de specificul instalațiilor de securitate, gradul de vulnerabilitate a acestora la amenințările RF IS În fiecare sferă a vieții societății și a statului, alături de metodele generale de asigurare a SI RF, pot fi utilizate metode și forme private, datorită specificului factorilor care afectează starea SI RF Asigurarea RF IS în sfera economică joacă un rol cheie în asigurarea securității naționale a Federației Ruse Cele mai sensibile la impactul amenințărilor RF IS în sfera economică sunt: • sistemul de statistici de stat; • sistemul de credit şi financiar; • sisteme informatice și contabile automatizate ale subdiviziunilor organelor executive federale care asigură activitățile societății și ale statului în sfera economică; • sistemele contabile ale întreprinderilor, instituțiilor și organizațiilor, indiferent de forma de proprietate; • sisteme de colectare, prelucrare, stocare și transmitere a informațiilor financiare, de schimb, fiscale, vamale și a informațiilor despre activitatea economică externă a statului, precum și a întreprinderilor, instituțiilor și organizațiilor, indiferent de forma de proprietate Principalele măsuri de asigurare a RF IS în sfera economică sunt: • o restructurare fundamentală a sistemului de raportare statistică de stat pentru a asigura fiabilitatea, completitudinea și securitatea informațiilor, realizată prin introducerea răspunderii juridice stricte a funcționarilor pentru pregătirea informațiilor primare, organizarea controlului asupra activităților acestor persoane și servicii; ; • îmbunătăţirea cadrului legal de reglementare a relaţiilor informaţionale în sfera economică; • organizarea şi implementarea controlului de stat asupra creării, dezvoltării şi protecţiei sistemelor şi mijloacelor de colectare, prelucrare, stocare şi transmitere a informaţiilor statistice, financiare, de schimb, fiscale, vamale; • prelucrarea și analiza informațiilor statistice, precum și limitarea comercializării acestor informații; • dezvoltarea mijloacelor naţionale certificate de protecţie a proceselor de prelucrare a informaţiilor şi implementarea acestora în sisteme şi mijloace de colectare, prelucrare, stocare şi transmitere a informaţiilor statistice, financiare, de schimb, fiscale, vamale; • dezvoltarea și implementarea sistemelor naționale de plată electronică securizate bazate pe carduri inteligente, sisteme de monedă electronică și comerț electronic, standardizarea acestor sisteme, precum și dezvoltarea unui cadru de reglementare care reglementează utilizarea acestora; • Îmbunătățirea metodelor de selecție și pregătire a personalului pentru lucru în sisteme de colectare, prelucrare, stocare și transmitere a informațiilor economice Cele mai importante obiecte de asigurare a securității informațiilor Federației Ruse în domeniul politicii externe includ: • resurse de informare ale organelor executive federale care implementează politica externă a Federației Ruse, reprezentanțe și organizații ruse din străinătate, reprezentanțe ale Federației Ruse la organizațiile internaționale; • resursele informaționale ale reprezentanțelor organelor executive federale care implementează politica externă a Federației Ruse pe teritoriile entităților constitutive ale Federației Ruse; • resursele informaționale ale întreprinderilor, instituțiilor și organizațiilor ruse subordonate autorităților executive federale care implementează politica externă a Federației Ruse; • Mass-media rusă, explicând publicului străin obiectivele și direcțiile principale ale politicii de stat a Federației Ruse, opiniile acesteia cu privire la evenimentele semnificative social din viața rusă și internațională Dintre amenințările externe la adresa RF IS în domeniul securității externe, cele mai periculoase sunt: • impactul informațional al structurilor politice, economice, militare și informaționale externe asupra dezvoltării și implementării strategiei de politică externă a Federației Ruse; • difuzarea în străinătate a dezinformării despre politica externă a Federației Ruse; • încălcarea drepturilor cetățenilor ruși și persoanelor juridice în sfera informațională din străinătate; • încercări de acces neautorizat la informații și influență asupra resurselor informaționale, infrastructura informațională a organelor executive federale care implementează politica externă a Federației Ruse, reprezentanțe și organizații ale Rusiei în străinătate, reprezentanțe ale Federației Ruse la organizațiile internaționale Dintre amenințările interne la adresa IS al Federației Ruse în sfera politicii externe, cel mai mare pericol este reprezentat de: • Încălcarea procedurii stabilite pentru colectarea, prelucrarea, stocarea și transmiterea informațiilor în organele executive federale care implementează politica externă a Federației Ruse și în întreprinderile, instituțiile și organizațiile subordonate acestora; • activități de informare și propagandă ale forțelor politice, asociațiilor publice, mass-media și indivizilor care denaturează strategia și tactica activităților de politică externă a Federației Ruse; • conștientizarea insuficientă a populației cu privire la activitățile de politică externă ale Federației Ruse; • crearea condițiilor pentru ca reprezentanțele și organizațiile ruse din străinătate să lucreze pentru neutralizarea dezinformațiilor difuzate acolo despre politica externă a Federației Ruse; • îmbunătățirea suportului informațional al activității de combatere a încălcării drepturilor și libertăților cetățenilor ruși și persoanelor juridice din străinătate; • îmbunătățirea suportului informațional al entităților constitutive ale Federației Ruse pe probleme de politică externă care sunt de competența acestora Cele mai importante obiecte ale menținerii RF IS în domeniul politicii interne sunt: • drepturile şi libertăţile constituţionale ale omului şi cetăţeanului; • ordinea constituțională, acordul național, stabilitatea puterii de stat, suveranitatea și integritatea teritorială a Federației Ruse; • resurse de informare deschise ale autorităților executive federale și ale mass-media Următoarele amenințări la adresa RF IS reprezintă cel mai mare pericol în sfera politicii interne: • încălcarea drepturilor și libertăților constituționale ale cetățenilor, implementate în sfera informațională; • reglementarea legală insuficientă a relaţiilor în domeniul drepturilor diferitelor forţe politice de a folosi mass-media pentru a-şi promova ideile; • difuzarea de dezinformări despre politica Federației Ruse, activitățile organismelor guvernamentale federale, evenimentele care au loc în țară și în străinătate; • activități ale asociațiilor obștești care vizează schimbarea forțată a fundamentelor ordinii constituționale și încălcarea integrității Federației Ruse, incitarea la ură socială, rasială, națională și religioasă, difuzarea acestor idei în mass-media Cele mai importante obiecte de întreținere RF IS în domeniul științei și tehnologiei sunt; • rezultatele cercetării științifice fundamentale, exploratorii și aplicative potențial importante pentru dezvoltarea științifică, tehnică, tehnologică și socio-economică a țării, inclusiv informații, a căror pierdere ar putea dăuna intereselor naționale și prestigiului Federației Ruse; • descoperiri, tehnologii nebrevetate, desene industriale, modele de utilitate și echipamente experimentale; • personalul științific și tehnic și sistemul de pregătire a acestuia; • sisteme de control pentru unități complexe de cercetare (reactoare nucleare, acceleratoare de particule elementare, generatoare de plasmă etc ) Principalele amenințări externe la adresa RF IS în domeniul științei și tehnologiei includ; • dorința statelor străine dezvoltate de a obține acces ilegal la resursele științifice și tehnice ale Rusiei pentru a utiliza rezultatele obținute de oamenii de știință ruși în propriile interese; • crearea de condiții preferențiale pe piața rusă pentru produsele științifice și tehnice străine și dorința țărilor dezvoltate de a limita dezvoltarea potențialului științific și tehnic al Rusiei în același timp (cumpărarea de acțiuni ale întreprinderilor lider cu reprofilarea lor ulterioară, menținerea restricții la export-import etc ); • politica țărilor occidentale a vizat distrugerea în continuare a spațiului științific și tehnic comun al Comunității Statelor Independente moștenit de la URSS prin reorientarea legăturilor lor științifice și tehnice cu țările occidentale, precum și cu echipele de cercetare individuale, cele mai promițătoare; • revitalizarea activităților întreprinderilor, instituțiilor și organizațiilor străine de stat și comerciale din domeniul spionajului industrial cu implicarea informațiilor și a serviciilor speciale Principalele amenințări interne la adresa RF IS în domeniul științei și tehnologiei includ: • situația economică dificilă în continuare din Rusia, care a condus la o scădere bruscă a finanțării activităților științifice și tehnice, la o scădere temporară a prestigiului sferei științifice și tehnice și la scurgerea de idei și dezvoltări avansate în străinătate; • incapacitatea întreprinderilor din ramurile naționale ale industriei electronice de a produce produse competitive de știință intensivă, bazate pe cele mai recente realizări ale microelectronicii și tehnologiilor informaționale avansate, ceea ce face posibilă asigurarea unui nivel suficient de independență tehnologică a Rusiei față de țările străine, ceea ce duce la utilizarea forțată pe scară largă a software-ului și hardware-ului importat în crearea și dezvoltarea tehnologiei informației în Rusia infrastructura; • probleme serioase în domeniul protecției prin brevet a rezultatelor activităților științifice și tehnice ale oamenilor de știință ruși; • complexitatea implementării măsurilor de protejare a proceselor de prelucrare a informaţiei, în special la întreprinderile pe acţiuni, în instituţiile şi organizaţiile ştiinţifice şi tehnice Asigurarea SI din Federația Rusă în sfera vieții spirituale are ca scop protejarea drepturilor și libertăților constituționale ale unei persoane și ale unui cetățean legate de dezvoltarea, formarea și comportamentul unui individ; libertatea de informare în masă; utilizarea moștenirii culturale, spirituale și morale, gradații istorice și norme de viață publică; conservarea patrimoniului cultural al tuturor popoarelor Rusiei; punerea în aplicare a restricțiilor constituționale privind drepturile și libertățile omului și ale cetățeanului în interesul păstrării și întăririi valorilor morale ale societății, a tradițiilor patriotismului și umanismului, a sănătății cetățenilor, a potențialului cultural și științific al Federației Ruse , și asigurarea capacității de apărare și a securității statului Următoarele amenințări la adresa IS al Federației Ruse reprezintă cel mai mare pericol în sfera vieții spirituale: • deformarea sistemului informaţiei de masă, atât din cauza monopolizării mass-media, cât şi din cauza extinderii necontrolate a sectorului mass-media străine în spaţiul informaţional autohton; • Deteriorarea și declinul treptat a siturilor de patrimoniu cultural rusesc, inclusiv arhive, colecții muzeale, biblioteci, monumente de arhitectură, din cauza finanțării insuficiente pentru programe și activități relevante; • posibilitatea încălcării stabilității sociale, provocând prejudicii sănătății și vieții cetățenilor ca urmare a activităților; asociațiile religioase care propovăduiesc fundamentalismul religios, precum și sectele religioase totalitare; • utilizarea de către serviciile speciale străine a mass-media care operează pe teritoriul Federației Ruse pentru a afecta capacitatea de apărare a țării și securitatea statului și pentru a răspândi dezinformare; • incapacitatea societății civile moderne din Rusia de a asigura formarea tinerei generații și menținerea în societate a valorilor morale necesare social, patriotism și responsabilitate civică pentru soarta țării Principalele obiecte ale întreținerii RF IS în sistemele naționale de informații și telecomunicații sunt: • resurse informaţionale care conţin informaţii clasificate ca secrete de stat şi informaţii confidenţiale; • Instrumente și sisteme de informatizare (facilități de calcul, complexe informatice și de calcul, rețele și sisteme), instrumente software (sisteme de operare, sisteme de gestionare a bazelor de date, alte programe generale de sistem și aplicații), sisteme de control automatizate, sisteme de comunicații și transmisii de date care efectuează recepția, prelucrarea, stocarea și transmiterea informațiilor cu acces restricționat, câmpurile fizice informative ale acestora; • mijloace și sisteme tehnice care prelucrează informații deschise, dar situate în spații în care sunt prelucrate informații cu acces limitat, precum și încăperile în sine destinate prelucrării acestor informații; • spații destinate desfășurării negocierilor închise, precum și negocierilor în cadrul cărora sunt anunțate informații cu acces limitat Principalele amenințări la adresa RF IS în sistemele naționale de informații și telecomunicații sunt: • activități ale serviciilor speciale ale statelor străine, comunități criminale, organizații și grupuri, activități ilegale ale persoanelor care vizează obținerea accesului neautorizat la informații și monitorizarea funcționării sistemelor informatice și de telecomunicații; • Forțată din cauza înapoierii obiective a industriei autohtone, utilizarea software-ului și hardware-ului importat în crearea și dezvoltarea sistemelor de informare și telecomunicații; • Încălcarea reglementărilor stabilite pentru colectarea, prelucrarea și transmiterea informațiilor, acțiunile și erorile intenționate ale personalului sistemelor informatice și de telecomunicații, defecțiunile hardware și software în sistemele informaționale și de telecomunicații; • utilizarea mijloacelor și sistemelor de informatizare și comunicare necertificate în conformitate cu cerințele de securitate, precum și a mijloacelor de protejare a proceselor de prelucrare a informațiilor și de monitorizare a eficacității acestora; • implicarea în crearea, dezvoltarea și protecția sistemelor informaționale și de telecomunicații a organizațiilor și firmelor care nu dețin licențe de stat pentru a desfășura aceste tipuri de activități Principalele măsuri organizatorice și tehnice de protecție a proceselor de prelucrare a informațiilor în sistemele naționale de informare și telecomunicații sunt: • licențierea activităților organizațiilor în domeniul protecției proceselor de prelucrare a informațiilor; • atestarea obiectelor de informatizare pentru îndeplinirea cerințelor de asigurare a protecției proceselor de prelucrare a informațiilor la desfășurarea unor lucrări legate de utilizarea informațiilor constitutive de secret de stat; • certificarea mijloacelor de protejare a proceselor de prelucrare a informațiilor și de monitorizare a eficacității utilizării acestora, precum și protecția informațiilor împotriva scurgerilor prin canalele tehnice ale sistemelor și mijloacelor de informatizare și comunicare; • introducerea unor restricții teritoriale, de frecvență, energetice, spațiale și temporale în modurile de utilizare a mijloacelor tehnice de protejat; • crearea și aplicarea de informații și sisteme de control automate într-un design sigur Obiectivele asigurării securității informațiilor Federației Ruse în domeniul apărării includ: • infrastructura informațională a organelor militare centrale de comandă și control ale ramurilor Forțelor Armate Ruse și ramurilor de serviciu, asociațiilor, formațiunilor, unităților și organizațiilor militare care fac parte din Forțele Armate Ruse, instituțiilor de cercetare ale Ministerului Apărării Federația Rusă; • resursele informaționale ale întreprinderilor complexe de apărare și ale instituțiilor de cercetare care execută ordine de apărare a statului sau se ocupă de probleme de apărare; • software și hardware pentru sisteme automate și automate de comandă și control pentru trupe și arme, arme și echipamente militare, dotate cu instrumente de informatizare; • resursele informaţionale, sistemele de comunicaţii şi infrastructura informaţională a altor trupe, formaţiuni şi corpuri militare Amenințările externe care reprezintă cea mai mare amenințare pentru instalațiile de suport RF IS din sectorul apărării sunt: • toate tipurile de activități de informații ale statelor străine; • informații și influențe tehnice (inclusiv război electronic, pătrundere în rețele de calculatoare) de la potențialii adversari; • sabotajul şi activităţile subversive ale serviciilor speciale ale statelor străine, desfăşurate prin metode de informare şi impact psihologic; • activități ale structurilor politice, economice și militare străine îndreptate împotriva intereselor Federației Ruse în domeniul apărării Amenințările interne care prezintă cel mai mare pericol pentru aceste obiecte sunt: • Încălcarea reglementărilor stabilite pentru colectarea, prelucrarea, stocarea și transmiterea informațiilor aflate în sediul și instituțiile Ministerului Apărării al Federației Ruse, la întreprinderile complexului de apărare; • acțiuni intenționate, precum și erori ale personalului sistemelor informatice și de telecomunicații în scopuri speciale; • funcționarea nesigură a sistemelor de informare și telecomunicații în scopuri speciale; • posibile activităţi de informare şi propagandă care subminează prestigiul Forţelor Armate RF şi disponibilitatea lor de luptă; • probleme nerezolvate de protejare a proprietății intelectuale a întreprinderilor din complexul de apărare, conducând la scurgerea celor mai valoroase resurse informaționale ale statului în străinătate; • probleme nerezolvate de protecție socială a militarilor și a membrilor familiilor acestora Amenințările interne enumerate vor reprezenta un pericol deosebit în contextul agravării situației militaro-politice Cele mai importante obiecte ale securității informațiilor în domeniul dreptului și al justiției sunt " • resursele informaționale ale organelor executive federale care exercită funcții de aplicare a legii, organelor judiciare, centrelor lor de informare și de calcul, instituțiilor de cercetare științifică și instituțiilor de învățământ care conțin informații speciale și date operaționale cu caracter oficial; • centre de informare și de calcul, suportul lor de informații, tehnic, software și de reglementare; • infrastructura informaţională (reţele informatice şi de calcul, puncte de control, noduri şi linii de comunicaţie) Alături de metodele și mijloacele generale de protecție a informațiilor utilizate pe scară largă, sunt utilizate și cele specifice metode și mijloace de asigurare a securității informațiilor în sfera de aplicare a legii și judiciară: • Crearea unui sistem multi-nivel protejat de bănci de date integrate de natură investigativă, de referință, criminalistică și statistică bazate pe sisteme informatice și de telecomunicații specializate; • creşterea nivelului de pregătire profesională şi specială a utilizatorilor sistemelor informaţionale Cele mai vulnerabile obiecte ale securității informațiilor în situații de urgență sunt sistemul decizional pentru acțiuni (reacții) operaționale legate de desfășurarea unor astfel de situații și cursul eliminării consecințelor acestora, precum și sistemul de colectare și prelucrare a informațiilor despre posibila apariție a Situații de urgență Domeniile de asigurare a securității informațiilor specifice acestor condiții includ: • dezvoltarea unui sistem eficient de monitorizare a instalațiilor cu risc ridicat, a cărui defecțiune poate duce la situații de urgență și previziunea situațiilor de urgență; • îmbunătățirea sistemului de informare a populației despre amenințările situațiilor de urgență, condițiile de apariție și desfășurare a acestora; • creșterea fiabilității sistemelor de procesare și transmitere a informațiilor care sprijină activitățile organelor executive federale; • prezicerea comportamentului populației sub influența informațiilor false sau nesigure despre posibile situații de urgență și elaborarea măsurilor de asistență unui număr mare de persoane aflate în aceste situații; • dezvoltarea unor măsuri speciale de protecţie a sistemelor informaţionale care să asigure managementul industriilor periculoase pentru mediu şi importante din punct de vedere economic Amenințări organizaționale, fizico-tehnice, informaționale și software-matematice Amenințări complexe și globale la adresa securității informaționale ale activităților omenirii și ale societăților Clasificarea amenințărilor IS este prezentată în fig Conform direcției lor generale, amenințările la adresa IS al Federației Ruse, precum și cele ale altor state, sunt împărțite în următoarele tipuri: • amenințări la adresa drepturilor și libertăților constituționale ale omului și cetățeanului în domeniul vieții spirituale și al activităților de informare; Orez Clasificarea amenințărilor I B sti, conștiința individuală, de grup și publică, renașterea spirituală a Rusiei; • amenințări la adresa suportului informațional al politicii de stat a Federației Ruse; • amenințări la adresa dezvoltării industriei informaționale interne, inclusiv a industriei informatizării, telecomunicațiilor și comunicațiilor, satisfacerea nevoilor pieței interne pentru produsele sale și intrarea acestor produse pe piața mondială, precum și asigurarea acumulării, conservării utilizarea eficientă a resurselor informaționale interne; • amenințări la adresa securității instalațiilor și sistemelor de informații și telecomunicații, ambele deja desfășurate și în curs de creare pe teritoriul Rusiei Apoi, în funcție de intensitatea și locul aplicării în timpul funcționării sistemului, amenințările IS se împart în accidentale și deliberate, pasive și active, iar - în domenii specifice - în cele organizaționale, fizico-tehnice, informaționale și software-matematice Astăzi, cel mai mare pericol practic îl reprezintă amenințările la adresa securității instalațiilor și sistemelor de informații și telecomunicații, ambele deja desfășurate și în curs de creare pe teritoriul Rusiei: • colectarea și utilizarea ilegală a informațiilor; • încălcări ale tehnologiei de prelucrare a informațiilor; • introducerea în produsele hardware și software a componentelor care implementează funcții care nu sunt prevăzute de documentația pentru aceste produse; • dezvoltarea și diseminarea de programe care perturbă funcționarea normală a informațiilor și a sistemelor informaționale și de telecomunicații, inclusiv a sistemelor de securitate a informațiilor; • distrugerea, deteriorarea, suprimarea electronică sau distrugerea mijloacelor și sistemelor de prelucrare a informațiilor, telecomunicații și comunicații; • impact asupra sistemelor cu cheie de parolă pentru protejarea sistemelor automate de prelucrare și transmitere a informațiilor; • compromiterea cheilor și a mijloacelor de protecție criptografică a informațiilor; • scurgerea de informații prin canale tehnice; • introducerea de dispozitive electronice de interceptare a informațiilor în mijloacele tehnice de prelucrare, stocare și transmitere a informațiilor prin canale de comunicare, precum și în sediile autorităților, întreprinderilor, instituțiilor și organizațiilor statului, indiferent de forma de proprietate; • distrugerea, deteriorarea, distrugerea sau furtul mașinii și a altor medii de stocare; • interceptarea informațiilor în rețelele de transmisie a datelor și liniile de comunicație, decriptarea acestor informații și impunerea de informații false; • utilizarea tehnologiilor informaționale autohtone și străine certificate, instrumente de securitate a informațiilor, instrumente de informatizare, telecomunicații și comunicații în crearea și dezvoltarea infrastructurii informaționale ruse; • accesul neautorizat la informațiile deținute în bănci și baze de date; • încălcarea restricțiilor legale privind difuzarea informațiilor Surse de amenințări RF IS Sursele de amenințări la adresa RF IS sunt împărțite în externe și interne Sursele externe de amenințări la adresa RF IS includ: • activități ale structurilor străine politice, economice, militare, de informații și informații îndreptate împotriva intereselor Federației Ruse în sfera informațională; • dorința mai multor țări de a domina și de a încălca interesele Rusiei în spațiul informațional global, de a o îndepărta de pe piețele informaționale externe și interne; • agravarea competiţiei internaţionale pentru deţinerea de tehnologii şi resurse informaţionale; • activităţile organizaţiilor teroriste internaţionale; • creșterea decalajului tehnologic dintre principalele puteri ale lumii și consolidarea capacităților acestora de a contracara crearea de tehnologii informaționale competitive din Rusia; • activităţile spaţiale, aeriene, maritime şi terestre tehnice şi alte mijloace (tipuri) de recunoaştere a statelor străine; • dezvoltarea de către o serie de state a conceptelor de război informațional și de arme aferente, prevăzând crearea unor mijloace de influență periculoasă asupra sferelor informaționale ale altor țări ale lumii, perturbarea funcționării normale a sistemelor de informare și telecomunicații, siguranța resurselor informaționale și obținerea accesului neautorizat la acestea Sursele interne de amenințări la adresa RF IS includ: • starea critică a industriilor autohtone; • situație criminogenă nefavorabilă, însoțită de tendințe de contopire a structurilor statale și criminale în sfera informațională, obținerea infracțiunilor prin acestea structuri de acces la informații confidențiale, întărirea influenței crimei organizate asupra vieții societății, reducerea gradului de protecție a intereselor legitime ale cetățenilor, societății și statului în sfera informațională; • Coordonarea insuficientă a activităților autorităților statului federal, autorităților de stat ale entităților constitutive ale Federației Ruse în formarea și implementarea unei politici de stat unificate în domeniul asigurării securității informaționale a Federației Ruse; • dezvoltarea insuficientă a cadrului legal care reglementează relaţiile în sfera informaţională, precum şi practica insuficientă a legii; • subdezvoltarea instituțiilor societății civile și controlul de stat insuficient asupra dezvoltării pieței informaționale din Rusia; • Finanțarea insuficientă a măsurilor pentru asigurarea RF IS; • puterea economică insuficientă a statului; • scăderea eficienţei sistemului de educaţie şi educaţie, număr insuficient de personal calificat în domeniul securităţii informaţiei; • Activitate insuficientă a autorităților statului federal, autorităților de stat ale entităților constitutive ale Federației Ruse în informarea publicului cu privire la activitățile lor, explicarea deciziilor luate, crearea de resurse deschise de stat și dezvoltarea unui sistem pentru accesul cetățenilor la acestea; • Rusia rămâne în urmă față de țările lider ale lumii în ceea ce privește nivelul de informatizare a organismelor guvernamentale federale, a organismelor guvernamentale ale entităților constitutive ale Federației Ruse și a guvernelor locale, sectorul credit și financiar, industrie, agricultură, educație, sănătate, sectorul serviciilor și viața cetățenilor Odată cu trecerea de la o societate industrială la o societate informațională și dezvoltarea corespunzătoare a tehnologiilor informaționale, se acordă o atenție considerabilă celor mai noi tipuri de așa-numite arme umane (arme neletale și tehnologii de război), care includ informații, psihotronice, economice , arme de conștiință etc Un loc special îl ocupă armele informaționale și tehnologiile de război informațional Semnificația lor este evidențiată de faptul că în Statele Unite au fost create trupe de informații Astăzi, directivele Departamentului de Apărare al SUA stabilesc în detaliu procedura de pregătire pentru războaiele informaționale În ceea ce privește eficacitatea, armele informaționale sunt comparabile cu armele de distrugere în masă Spectrul de acțiune al armelor informaționale este larg: de la afectarea sănătății mintale a oamenilor până la pătrunderea virușilor în rețelele de calculatoare și distrugerea informațiilor Variantele posibilelor războaie din secolul sunt modelate pe supercalculatoare folosind metodele și tehnologia "armelor neletale" În forțele armate ale NATO, se acordă o atenție considerabilă rolului "armelor neletale" și tehnologiilor, în primul rând armelor informaționale și operațiunilor psihologice și de propagandă în războaiele secolului XXI, care schimbă semnificativ natura utilizării solului, forțele aeriene și navale și confruntarea geopolitică și civilizațională principalele centre ale lumii multipolare emergente Diferența dintre tipurile și tehnologiile de "arme neletale" și armele militare convenționale este că acestea se concentrează pe utilizarea algoritmilor și tehnologiilor care concentrează cunoștințele de bază și au ca scop înfrângerea inamicului Războiul informațional întruchipează războiul civilizațiilor pentru supraviețuire în fața resurselor în continuă scădere Arma informației lovește conștiința umană, distruge căile și formele de identificare personală în relație cu comunitățile fixe Transformă memoria individului, creând o personalitate cu parametri prestabiliți (tip de conștiință, nevoi artificiale, forme de autodeterminare etc ) care îndeplinesc cerințele agresorului, dezactivează sistemele de control ale statului inamic și armate ale acestuia forte Practica a arătat că forțele armate suferă cele mai mari pierderi din cauza utilizării armelor informaționale neforțate împotriva lor și, în primul rând, din cauza impactului elementelor dăunătoare care acționează asupra sistemelor de control și asupra psihicului uman Armele informaționale și de conștiință afectează obiectele "ideale" (sisteme de semne) sau suporturile lor materiale În prezent, expansiunea globală informaţional-culturală şi informaţional-ideologică a Occidentului se realizează prin intermediul reţelelor mondiale de telecomunicaţii (de exemplu, Internetul) şi prin intermediul mass-media Multe țări sunt forțate să ia măsuri speciale pentru a-și proteja cetățenii, cultura, tradițiile și valorile spirituale de influența informațiilor străine Este necesar să se protejeze resursele naționale de informații și să se mențină confidențialitatea schimbului de informații prin rețelele deschise ale lumii, deoarece acest lucru poate duce la confruntări politice și economice între state, noi crize în relațiile internaționale Prin urmare, securitatea informațiilor, războiul informațional și armele informaționale sunt în prezent în centrul atenției tuturor Armele informaționale sunt mijloace: • distrugerea, denaturarea sau furtul matricelor de informații; • depăşirea sistemelor de protecţie; • Restricții privind accesul utilizatorilor legitimi; • dezorganizarea muncii mijloacelor tehnice, sistemelor informatice Armele informaționale de atac astăzi pot fi numite: • virusi informatici care se pot inmulti, se infiltreaza in programe, se pot transmite prin linii de comunicatie, retele de date, dezactiva sisteme de control etc ; • bombe logice - dispozitive software încorporate care sunt introduse în prealabil în centrele de informare și control ale infrastructurii militare sau civile pentru a le pune în acțiune la un semnal sau la o oră stabilită; • mijloace de suprimare a schimbului de informații în rețelele de telecomunicații, falsificarea informațiilor pe canalele controlului de stat și militar; • mijloace de neutralizare a programelor de testare; • diverse tipuri de erori introduse deliberat de inamic în software-ul obiectului Universalitatea, secretul, formele multivariante de implementare software și hardware, impactul radical, o alegere suficientă a timpului și a locului de utilizare, rentabilitatea fac armele informaționale extrem de periculoase, deoarece sunt ușor deghizate ca mijloace de protecție (de exemplu, intelectuale) proprietate) și chiar permit desfășurarea unor acțiuni ofensive în mod anonim, fără declararea războiului Viața normală a unui organism social este determinată de nivelul de dezvoltare, calitatea funcționării și securitatea mediului informațional Producție și management, apărare și comunicații, transport și energie, finanțe, știință și educație, mass-media - totul depinde de intensitatea schimbului de informații, de exhaustivitate, de actualitate și de fiabilitatea informațiilor Infrastructura informațională a societății este ținta armelor informaționale Dar, în primul rând, noile arme vizează forțele armate, întreprinderile complexului de apărare, structurile responsabile cu securitatea externă și internă a țării Un grad ridicat de centralizare a structurilor administrației de stat a economiei ruse poate duce la consecințe dezastruoase ca urmare a agresiunii informaționale Ritmul de îmbunătățire a armelor informaționale (ca, într-adevăr, orice tip de armă de atac) depășește ritmul de dezvoltare a tehnologiilor de apărare, astfel încât sarcina de a neutraliza armele informaționale, respingând amenințarea utilizării lor ar trebui luată în considerare ca una dintre sarcinile prioritare în asigurarea securităţii naţionale a ţării Distrugerea anumitor tipuri de conștiință presupune distrugerea și reorganizarea comunităților care constituie acest tip de conștiință Există cinci moduri principale de a învinge și de a distruge conștiința într-un război conștiincios: ) deteriorarea substratului neurocerebral, care reduce nivelul de funcționare a conștiinței, care poate apărea sub influența substanțelor chimice, otrăvirea prelungită a aerului, alimentelor, radiațiilor; ) scăderea nivelului de organizare a mediului informaţional şi comunicaţional pe baza dezintegrarii şi primitivizării acestuia, în care funcţionează şi "trăieşte" conştiinţa; ) influența oculta asupra organizării conștiinței bazată pe transmiterea dirijată a formelor gândirii la subiectul înfrângerii; ) organizarea specială și diseminarea prin canale de comunicare a imaginilor și textelor care distrug munca conștiinței (poate fi desemnată condiționat ca armă psihotronică); ) distrugerea metodelor și formelor de identificare a unei persoane în raport cu comunitățile fixe, conducând la o schimbare a formelor de autodeterminare și depersonalizare Impactul schimbării și transformării tipurilor de identificare de imagine (identificare profundă cu o anumită poziție prezentată într-un mod specific) și autentificări (un sentiment de autenticitate personală) este realizat de mass-media, în primul rând de televiziune În acest domeniu au loc astăzi toate acțiunile principale de distrugere a conștiinței ruso-ruse post-sovietice X Scopul final al folosirii armelor de conștiință este îndepărtarea oamenilor din formele consacrate de mega-comunități Distrugerea oamenilor și transformarea lui în populație se produce din cauza faptului că nimeni nu vrea să se asocieze și să se raporteze la poliethnosul căruia îi aparținea anterior Distrugerea identificărilor-imagine stabilite are ca scop distrugerea mecanismelor de includere a unei persoane în comunitățile formate natural și existente și înlocuirea acestor comunități formate evolutiv-natural cu una complet artificială - comunitatea de telespectatori din jurul televizorului Nu contează modul în care o persoană se raportează la ceea ce vede și aude de pe ecranul televizorului, este important să fie un privitor constant, pentru că în acest caz poate fi regizat și influențat stabil Dar în condițiile lumii formale și în așa-numitele războaie locale, războiul conștiincios este foarte eficient Întrebări de control Ce este doctrina RF IS? Enumerați cele patru componente principale ale intereselor naționale ale Federației Ruse în sfera informațională Dați o definiție pentru RF IS Formulați interesele statului, societății și individului în sfera informațională Descrieți cele două tipuri principale de informații utilizate în funcționarea sistemelor sociale, tehnice și organizatoric-tehnice Ce este disponibilitatea informațiilor? Ce determină valoarea informațiilor pentru proprietar? Ce sunt informațiile confidențiale, secretele de stat și comerciale? Numiți trei grade de secret Numiți trei categorii de valoare a informațiilor comerciale Care este valoarea comercială a informației și care sunt modalitățile de obținere a acesteia? Care sunt principalele metode de determinare a cantității de informații Dați formula lui R Hartley pentru determinarea cantității de informații Ce este abordarea entropiei? Dați formula lui K Shannon Oferiți o descriere a evaluării cantității de informații în funcție de măsura probabilistică a oportunității managementului Dați formula lui A A Kharkevich Explicați ce este abordarea tezaurului Care este subiectul protecției în rețelele de calculatoare? Dați caracteristicile acestui subiect Enumerați principalele tipuri de amenințări la adresa IS RF Care este furnizarea complexă de securitate a informațiilor din Federația Rusă? Enumerați cele patru principii principale pentru asigurarea RF IS Formularea principalelor direcții de cooperare internațională a Federației Ruse în domeniul securității informațiilor Enumerați principalele funcții ale sistemului de întreținere RF IS Cum sunt împărțite metodele generale de asigurare a RF IS? Enumerați sursele externe de amenințări la adresa IS RF Enumerați sursele interne de amenințări la adresa IS RF Care sunt caracteristicile asigurării securității informaționale a Federației Ruse în domeniile economiei, politicii externe, politicii interne, domeniile științei și tehnologiei, sfera vieții spirituale, sistemele de informații și telecomunicații, în domeniul apărării, dreptului sfera executorie si judiciara, in situatii de urgenta? capitolul SPRIJIN ORGANIZAȚIONAL ȘI LEGAL PENTRU IS Reglementarea legală a fluxurilor de informații în diverse tipuri de activități ale companiei Procesele de reglementare a suportului informațional și propagandistic pentru orice tip de activitate a unei societăți și a structurilor acesteia din spațiul informațional global și rusesc reprezintă o parte de susținere a securității informației Luarea în considerare a acestei probleme este necesară din următoarele motive În primul rând, mass-media s-a transformat acum din sfera de activitate profesională a jurnaliştilor într-un factor de influenţă efectivă şi au devenit o instituţie politică Cu toate acestea, domeniul comunicării în masă, schimbului de informații și protejării proceselor de prelucrare a informațiilor este cel mai puțin codificat în dreptul internațional public și, în consecință, se pot studia premisele influenței lor direcționate pentru a forma poziții în interesul politicii informaționale urmate de către Federația Rusă În al doilea rând, problemele cadrului juridic în domeniul mass-media (mass-media), nivelul admisibil de prezență străină în spațiul informațional intern rusesc sunt în prezent cele mai actuale în Rusia, deoarece acestea sunt subiecte de monitorizare constantă de către experți din Consiliul Europei și OSCE; acestea sunt discutate intens în departamentele competente și în parlamentul Federației Ruse În al treilea rând, în ultimii trei ani, în Federația Rusă au fost adoptate câteva documente doctrinare importante, care presupun schimbări semnificative și codificarea domeniului juridic în domeniul comunicării în masă, relațiilor informaționale, susținerii informaționale și propagandistice pentru activitățile de politică externă ale statul nostru Ele pot afecta semnificativ poziția pe care o postulează în acest domeniu pe arena internațională În al patrulea rând, în ciuda faptului că reglementarea relațiilor informaționale (informații, mijloace și metode de a le aduce consumatorului) este cel mai puțin dezvoltat domeniu de drept, atât intern, cât și internațional, în ultimii ani în domeniul masei interne Legea mass-media, Rusia a făcut progrese semnificative în direcția eliminării decalajului care o separă de țările cele mai dezvoltate în acest sens, iar în domeniul dreptului internațional a adus o contribuție semnificativă la formarea principiilor și normelor ramurii emergente a drept în domeniul securității informațiilor Conceptul de drept al informației a apărut relativ recent, acum - de ani, deși conceptele de "informație" și "relații informaționale" în sine există de mult timp Totuși, pentru o persoană, orice fenomen există doar în măsura în care și-a găsit locul în ierarhia conceptelor care descriu realitatea din jurul unei persoane și percepția sa asupra lumii Factorul juridic capătă un rol deosebit în legătură cu importanța tot mai mare a activităților de informare și propagandă și așa-zisa diplomație publică în contextul "exploziei informaționale" în curs de desfășurare Realitatea de astăzi este utilizarea informațiilor ca armă, inclusiv a armelor de distrugere în masă Amenințarea utilizării realizărilor din domeniul tehnologiei informației în scopuri incompatibile cu sarcinile de menținere a păcii internaționale, de exemplu, ca armă a terorismului, este foarte reală, așa cum au arătat evenimentele din septembrie din Statele Unite Aceasta presupune adoptarea în comun a măsurilor preventive, inclusiv a celor de natură juridică, pentru prevenirea utilizării tehnologiilor informaționale și informatice în scopul purtării războaielor informaționale și al efectuării de atacuri teroriste Dreptul internațional al mass-media poate fi adoptat ca instrument de reglementare a acestor procese Dreptul internațional al mass-media este un set de principii și norme internaționale speciale care guvernează drepturile și obligațiile subiecților dreptului internațional în procesul de utilizare (sau de autorizare a utilizării) mass-media Informația (în special informația de masă) este un mijloc important de formare a opiniei publice naționale și internaționale, o componentă integrantă a politicii interne și externe Diseminarea de informații în masă dincolo de granițele statului de localizare a sursei sale implică și restricții legale internaționale privind libertatea de informare Este legitimă și cu atât mai justificată utilizarea termenului de "comunicații de masă", care include nu numai diseminarea de informații, ci și contactele reciproce între sursele de informații și consumatorii săi, de ex informații de feedback Normele acestei ramuri de drept reglementează atât aspectele tehnice ale difuzării informației în masă, cât și problemele conținutului acesteia Până în prezent, au fost formulate o serie de principii principale care guvernează utilizarea internațională a mass-media Fiecare stat are dreptul de a difuza informații în masă în afara granițelor sale Toate popoarele au dreptul de acces liber la informațiile difuzate prin mass-media Toate statele au dreptul de a-și dezvolta propriile mijloace de comunicare și de a le folosi peste granițe Statele sunt obligate să se abțină de la răspândirea și suprimarea răspândirii unui număr de idei antidemocratice, reacţionare, precum propaganda de război, discriminarea rasială, apartheidul, pornografia etc Statele au dreptul de a împiedica difuzarea prin mass-media a ideilor care sunt contrare principiilor de bază ale dreptului internațional Statele sunt obligate să se abțină de la utilizarea și suprimarea folosirii mass-media naționale pentru a se amesteca în treburile interne ale statelor, precum și de la campanii calomnioase, propagandă ofensivă sau ostilă împotriva altor state Statele sunt obligate să încurajeze diseminarea ideilor democratice generale progresiste Statele sunt obligate să exercite controlul asupra activităților instituțiilor media naționale care difuzează idei și informații în străinătate Organizația Națiunilor Unite (ONU), inclusiv Adunarea Generală (AG) a ONU, participă activ la formarea cadrului juridic pentru legea informațiilor Comitetul pentru Informații al Națiunilor Unite și UNESCO joacă un rol activ în acest proces Principiile și normele care devin baza sa au fost consemnate în multe documente ale ONU Cu toate acestea, din cauza faptului că în momentul de față există o separare a acestei ramuri de drept internațional, normele și principiile sale sunt dispersate între documentele care reglementează ramurile conexe Există două abordări diferite ale problemei securității informațiilor internaționale Statele Unite și o serie de țări NATO care le susțin încearcă să reducă problema generală la anumite domenii ale criminalității informaționale și informației terorism Posibilitatea creării de arme informaționale și amenințarea războaielor informaționale sunt relegate în plan secund de către aceștia În consecință, aspectul de dezarmare al problemei este de asemenea negat O astfel de abordare face posibilă păstrarea libertății pentru evoluții militare ulterioare în acest domeniu, crearea de noi tipuri de arme informaționale În această abordare, Statele Unite și țările în curs de dezvoltare (RPC, India, Africa de Sud, Egipt, Pakistan) văd o amenințare de a le izola de participarea activă la rezolvarea problemei și, în plus, o încercare de a-și păstra vulnerabilitatea la agresiunea informațională (pentru exemplu, Irak și Iugoslavia) În conformitate cu recomandările Rezoluției Adunării Generale a ONU "Avansuri în domeniul informatizării și telecomunicațiilor în contextul securității internaționale" ( ), Ministerul rus de Externe a pregătit un proiect de document "Evaluarea generală a problemelor de securitate a informațiilor" Amenințări la adresa securității informațiilor internaționale" Acest document a fost depus în iunie la Secretariatul ONU și inclus în raportul Secretarului General pe această temă la cea de-a -a sesiune a Adunării Generale a ONU Astfel, Rusia joacă unul dintre rolurile cheie în dezvoltarea mecanismelor legale de reglementare a problemelor confruntării informaționale și, ca urmare, a războiului informațional internațional Conștientizarea conducerii politice ruse cu privire la necesitatea urgentă de a dezvolta reguli globale de joc în domeniul informațional, voința politică și acțiunile active întreprinse de acesta în această direcție, servesc drept garanție că țara noastră își va putea îmbunătăți poziția actuală în acest domeniu Diseminarea informaţiei în masă prin intermediul telecomunicaţiilor (radiodifuziune, televiziune internaţională prin sateliţi artificiali de pământ, reţele informatice informatice) nu poate fi controlată de statul pe teritoriul căruia populaţia primeşte informaţia Dar pentru a asigura cooperarea internațională în acest domeniu, este important să se asigure compatibilitatea tehnică a echipamentelor de transmisie și recepție, precum și să se excludă interferența reciprocă, ceea ce face ca o astfel de cooperare să fie importantă Faptul că apariția rețelelor de internet nu a primit încă nicio înțelegere juridică internațională vorbește despre incompletitudinea procesului de identificare a ramurii considerate a dreptului internațional Problema caracteristicilor juridice ale Internetului necesită un studiu special și o documentație juridică adecvată care să reflecte versatilitatea naturii sale, întrucât această entitate nu poate fi considerată doar ca mass-media datorită structurii sale multifuncționale Prin analogie cu teoria dreptului, se pot distinge două abordări ale problemei reglementării juridice pe Internet: prima promovează libertatea absolută, a doua promovează statul de drept pe Internet Prima abordare se bazează pe tradițiile rețelei și are un număr foarte semnificativ de adepți în rândul comunității rețelei, a doua abordare nu este atât de comună, în plus, este întâmpinată cu o respingere puternică de către unii utilizatori ai rețelei și cu un protest organizat de susținătorii "Internetului" anarhie" şi "fundamentaliştii Internetului" Există o altă tendință: majoritatea utilizatorilor de internet au o atitudine negativă față de faptul că statul controlează conținutul materialelor distribuite Rusia este una dintre țările lider în ceea ce privește legislația privind informațiile Pe lângă prevederile Constituției Federației Ruse și normele de natură internațională încorporate în dreptul intern, una dintre trăsăturile sistemului juridic rus este prezența în acesta a unor legi care conțin dreptul mass-media în cel mai pur formular (Legile federale "Cu privire la informare, informatizare și protecția informațiilor" din ianuarie nr - Legea federală, "Cu privire la participarea la schimbul internațional de informații" din nr -FZ) Există, de asemenea, un număr mare de legi care reglementează diverse aspecte ale activității informaționale în legătură cu fenomene specifice: Legea Federației Ruse "Cu privire la mass-media" din decembrie nr - , Legile federale "Cu privire la sprijinul de stat pentru Mass-media și editura de carte din Federația Rusă" din nr -FZ, "Despre publicitate" din nr -FZ, Legile Federației Ruse "Cu privire la drepturile de autor și drepturile conexe" din - , "Cu privire la protecția juridică a programelor pentru calculatoare electronice și baze de date" din nr - Există un număr mare de decrete ale Președintelui Federației Ruse și rezoluții ale Guvernului Federației Ruse, au fost adoptate un număr semnificativ de documente de televiziune și radio, precum și mass-media individuale Conceptul de politică informațională de stat în , aprobat de Duma de Stat și Camera Permanentă pentru Politica Informațională de Stat a Consiliului Consultativ Politic din subordinea Președintelui Federației Ruse, în sec "Legea informației" prevede formarea unui cadru legal pentru relațiile informaționale Conceptele de dezvoltare legislativă implementate din influențează activ procesul legislativ în acest domeniu Se formează baza legislativă pentru reglementarea relațiilor în domeniul informaticii, ceea ce presupune participarea activă a țării la formarea normelor internaționale în acest domeniu Acte juridice și de reglementare internaționale și interne pentru asigurarea securității informaționale a proceselor de prelucrare a informațiilor Măsurile legislative de protecție a proceselor de prelucrare a informațiilor constau în implementarea legilor, regulamentelor, ordonanțelor și instrucțiunilor existente în țară, reglementând răspunderea legală a funcționarilor - utilizatori și personalului tehnic de întreținere - pentru scurgerea, pierderea sau modificarea informațiilor care îi sunt încredințate, supus protecției, inclusiv pentru încercările de a efectua acțiuni similare în afara autorității lor, precum și răspunderea terților pentru încercarea de acces deliberat neautorizat la echipamente și informații Scopul măsurilor legislative este de a preveni și descuraja potențialii contravenienți Întrucât securitatea informației ar trebui să fie o legătură între politica de securitate națională și politica informațională a țării, ar fi logic să o desfășurăm după principii uniforme, evidențiind-le ca generale pentru politica informațională Astfel, politica de informare a statului ar trebui să se bazeze pe următoarele principii de bază: • deschiderea politicii (toate activitățile principale ale politicii informaționale sunt discutate deschis de societate, statul ține cont de opinia publică); • egalitatea intereselor participanților (politica ține cont în mod egal de interesele tuturor participanților la activități de informare, indiferent de poziția lor în societate, forma de proprietate și apartenența la stat); • consecvență (implementarea proceselor de mentenanță SI prin sistemul de stat); • prioritate acordată unui producător autohton (în condiții egale, prioritate este acordată unui producător autohton competitiv de mijloace, produse și servicii de informare și comunicare); • orientarea socială (principalele activități ale politicii informaționale de stat ar trebui să vizeze asigurarea intereselor sociale ale cetățenilor ruși); • sprijinul de stat (măsurile de politică informațională care vizează dezvoltarea informațională a sferei sociale sunt finanțate în principal de stat); • prioritatea dreptului - legalitatea (elaborarea și aplicarea metodelor juridice și economice are prioritate față de orice formă de soluții administrative la problemele din sfera informațională); • o combinație de comandă și control centralizat al forțelor și mijloacelor de asigurare a securității cu transferul, în conformitate cu structura federală a Rusiei, a unei părți din competențele în acest domeniu către autoritățile de stat ale entităților constitutive ale Federației Ruse și auto-ului local; -organisme guvernamentale); • integrarea cu sistemele internaționale de securitate a informațiilor Acte juridice și de reglementare internaționale pentru asigurarea securității informațiilor În practica internațională de asigurare a securității informațiilor, principalele domenii sunt: • reglementarea securității computerelor conform criteriilor de evaluare a securității sistemelor și tehnologiilor informaționale fiabile; • standardizarea proceselor de creare a sistemelor informaţionale securizate Deci, deja în , Agenția de Securitate Informatică a Departamentului Apărării din SUA a publicat un raport numit TCSEC ("Trusted Systems Security Evaluation Criteria") sau "Orange Book" (în funcție de culoarea copertei), care identifica șapte niveluri de securitate (A - securitate garantată; Bl, B , B - control acces complet; CI, C - control acces selectiv, D - securitate minimă) pentru a evalua protecția datelor criptate în sistemele informatice multi-utilizator Pentru a evalua sistemele informatice ale Departamentului de Apărare al SUA, Centrul Național de Securitate a Calculatoarelor al Departamentului de Apărare al SUA a emis instrucțiunile NCSC-TG- și NCSC-TG- , cunoscute sub numele de "Cartea Roșie" (pentru culoarea copertei) La rândul său, Agenția de Securitate a Informațiilor din Germania a pregătit un GREEN SAI ("Green Book"), care ia în considerare într-un complex cerințele pentru disponibilitatea, integritatea și confidențialitatea informațiilor atât în sectorul public, cât și în cel privat În , Cartea Verde a fost aprobată de Republica Federală Germania, Marea Britanie, Franța și Olanda și trimisă la Uniunea Europeană (UE), unde a fost elaborată ITSEC (Criterii de Evaluare a Securității Tehnologiei Informației), sau Cartea Albă, pe baza sa baza, ca standard european care definește criterii, cerințe și proceduri pentru crearea sistemelor informaționale securizate și are două scheme de evaluare: după eficiență (de la E la EE) și după funcționalitate (disponibilitate, integritatea sistemului, integritatea datelor, confidențialitatea informațiilor și transferul datelor) ) Cartea albă denumește principalele componente ale securității conform criteriilor ITSEC: ) securitatea informațiilor; ) securitatea sistemului; ) siguranța produsului; ) amenințare la securitate; ) un set de caracteristici de securitate; ) asigurarea securității; ) evaluarea globală a siguranței; ) clase de securitate Conform criteriilor europene ITSEC, securitatea informațiilor include șase elemente principale ale specificației sale: ) obiective de securitate și funcții IS; ) specificarea funcțiilor de siguranță: • Identificare și autentificare (nu se înțelege doar autentificarea tradițională a utilizatorilor, ci și funcțiile de înregistrare a utilizatorilor noi și ștergerea celor vechi, precum și funcții de modificare și verificare a informațiilor de autentificare, inclusiv controlul integrității și funcții de limitare a numărului de reîncercări de autentificare) ; • controlul accesului (inclusiv funcții de securitate care restricționează temporar accesul la obiectele partajate pentru a menține integritatea acestor obiecte; controlul distribuirii drepturilor de acces; controlul asupra primirii informațiilor prin inferență și agregare de date); • responsabilitate (înregistrare); • audit (control independent); • reutilizarea obiectelor; • acuratețea informațiilor (menținerea unei anumite corespondențe între diferitele părți ale datelor (acuratețea legăturilor) și asigurarea invariabilității datelor atunci când sunt transferate între procese (acuratețea comunicării)); • fiabilitatea serviciului (asigurați-vă că acțiunile critice în timp sunt efectuate exact atunci când este necesar; acțiunile necritice nu pot fi făcute critice; utilizatorii autorizați vor primi resursele solicitate într-un timp rezonabil; funcții de detectare și recuperare a erorilor; funcții de programare pentru a asigura securitatea comunicațiilor, adică securitatea datelor transmise prin canale de comunicație); • schimb de date; ) confidențialitatea informațiilor (protecția împotriva primirii neautorizate de informații); ) integritatea informațiilor (protecția împotriva modificării neautorizate a informațiilor); ) disponibilitatea informațiilor (protecția împotriva reținerii neautorizate sau accidentale a informațiilor și a resurselor sistemului); ) descrierea mecanismelor de securitate Pentru implementarea funcțiilor de identificare și autentificare se pot folosi mecanisme precum un server special KERBEROS și pentru protejarea rețelelor de calculatoare - routere de filtrare, analizoare de protocol de rețea (ecrane) precum FireWall/Plas, FireWall- , pachete software de filtrare etc Evaluarea globală a securității sistemului conform ITSEC constă din două componente: o evaluare a nivelului de eficacitate garantată a mecanismelor (mijloacele) de securitate și o evaluare a nivelului de corectitudine garantată a acestora Securitatea sistemului în ansamblu este evaluată separat pentru sisteme și produse Securitatea lor nu poate depăși puterea celui mai slab dintre mecanismele de securitate (apărări) de importanță critică Testul de eficacitate analizează corespondența dintre obiectivele de securitate pentru confidențialitate, integritate, disponibilitatea informațiilor și setul implementat de funcții de securitate - completitudinea și consistența lor funcțională, ușurința în utilizare, precum și posibilele consecințe ale atacatorilor care exploatează punctele slabe de securitate În plus, conceptul de "eficacitate" include capacitatea mecanismelor de protecție de a rezista la atacuri directe, ceea ce se numește puterea mecanismelor de protecție Potrivit ITSEC, sunt declarate trei niveluri de putere: de bază, medie și ridicată Verificarea corectitudinii analizează corectitudinea și fiabilitatea implementării funcțiilor de siguranță Conform TSEC, sunt declarate șapte niveluri de corectitudine - de la EO la E "Criteriile europene" stabilesc clase de siguranță (F-C /, F-C , F-Bl, F-B , F-B , F- N, F-AV, F-Dl, F-DC, F-DX) Primele cinci clase de siguranță sunt similare cu clasele CI, C , Bl, B , V ale criteriilor americane TCSEC Clasa F- N este destinată sistemelor cu cerințe de integritate ridicate, ceea ce este tipic pentru un SGBD și face distincție între următoarele tipuri de acces: citire, scriere, adăugare, ștergere, creare, redenumire și alocare de obiecte Clasa F-A I este destinată sistemelor cu cerințe ridicate pentru asigurarea performanței acestora prin contracararea amenințărilor de refuzare a serviciului (esențială pentru sistemele de control al proceselor) Clasa F-D se concentrează pe sistemele cu cerințe crescute pentru integritatea datelor transmise prin canalele de comunicație Clasa F-DC se caracterizează prin cerințe crescute pentru confidențialitatea informațiilor, iar clasa F-DX este proiectată pentru sisteme cu cerințe crescute pentru clasele F-D și F-DC simultan Canada a dezvoltat STRES, SUA au dezvoltat noile criterii federale Întrucât aceste criterii sunt sunt incompatibile între ele, s-a decis să se încerce armonizarea (combinarea) tuturor acestor criterii într-un nou set de criterii de evaluare a securității, denumit criterii comune Criteriile comune oferă un set de criterii pentru evaluarea securității și stabilește cerințele de funcționalitate și asigurare; șapte niveluri de asigurare (Evaluation Assurance Levels) pe care utilizatorul le poate solicita (EAL oferă doar o cantitate mică de asigurare în corectitudinea sistemului, în timp ce EAL oferă o asigurare foarte mare); două concepte: "profil de protecție" și "obiectiv de securitate" Suport intern organizatoric, legal și de reglementare și reglementare în domeniul securității informațiilor Principalele sarcini în domeniul asigurării și reglementării SI al Federației Ruse includ următoarele: • formarea și implementarea unei politici de stat unificate care să asigure protecția intereselor naționale împotriva amenințărilor din sfera informațională, implementarea drepturilor și libertăților constituționale ale cetățenilor la activități de informare; • îmbunătățirea legislației Federației Ruse în domeniul securității informațiilor; • determinarea competențelor autorităților de stat ale Federației Ruse, ale subiecților Federației Ruse și ale guvernelor locale în domeniul securității informațiilor; • coordonarea activităților autorităților publice pentru asigurarea securității informațiilor; • crearea condiţiilor pentru dezvoltarea cu succes a componentei non-statale în domeniul securităţii informaţionale, implementarea unui control civil efectiv asupra activităţilor autorităţilor publice; • îmbunătățirea și protecția infrastructurii informaționale interne, accelerarea dezvoltării noilor tehnologii informaționale și distribuirea lor largă, unificarea mijloacelor de căutare, colectare, stocare, procesare și analizare a informațiilor, ținând cont de intrarea Rusiei în infrastructura informațională globală; • dezvoltarea standardizării sistemelor informaţionale pe baza standardelor internaţionale general recunoscute şi implementarea acestora în toate tipurile de astfel de sisteme; • dezvoltarea industriei autohtone a mijloacelor de telecomunicaţii şi informare, prioritatea acestora în comparaţie cu distribuţia analogilor străini pe piaţa internă; • protecția resurselor informaționale ale statului, în primul rând în organele guvernamentale federale, la întreprinderile complexului de apărare; • renașterea spirituală a Rusiei, asigurând păstrarea și protecția moștenirii culturale și istorice (inclusiv colecții de muzee, arhive, biblioteci, principalele situri istorice și culturale); • Păstrarea valorilor spirituale tradiționale cu rolul cel mai important al Bisericii Ortodoxe Ruse și al bisericilor din alte confesiuni; • promovarea de către mass-media a elementelor culturilor naționale ale popoarelor Rusiei, a tradițiilor spirituale, morale, istorice, a normelor de viață socială și a bunelor practici ale unor astfel de activități de propagandă; • creșterea rolului limbii ruse ca limbă de stat și limbă de comunicare interstatală între popoarele Rusiei și statele membre ale Comunității Statelor Independente (CSI); • crearea condiţiilor socio-economice optime pentru implementarea celor mai importante tipuri de activitate creativă şi funcţionarea instituţiilor culturale; • contracararea amenințării declanșării confruntărilor în sfera informațională; • organizarea cooperării internaționale pentru asigurarea securității informațiilor în perioada integrării Rusiei în spațiul informațional global Stabilirea standardelor și reglementărilor în domeniul întreținerii RF IS este cea mai importantă funcție de reglementare Nouă standarde de stat ale Federației Ruse (GOST - , GOST R , - , GOST R , - , GOST , - , GOST R - , GOST RV - , GOST R R- , GOST - , GOST R - ) aparțin unor grupuri diferite în funcție de clasificatorul standardelor și, din păcate, nu sunt complete funcțional în niciunul dintre domeniile de protecție a proceselor de prelucrare a informațiilor În plus, există familii de standarde conexe legate de domeniul protecției proceselor de prelucrare a informațiilor: • sisteme de alarmă echipate cu detectoare de diferite principii de funcționare - GOST-uri; • tehnologii informaționale (certificarea sistemelor de telecomunicații, software și hardware, testarea de atestare a interconectarii sistemelor deschise, atestarea bazelor de date etc ) - aproximativ GOST-uri; • sisteme de calitate (inclusiv standardele din seria puse în aplicare pe teritoriul Federației Ruse) - peste de GOST O parte semnificativă (aproximativ %) din standardele pentru metodele de control și testare pot fi recunoscute ca neîndeplinesc cerințele Legii Federației Ruse "Cu privire la asigurarea uniformității măsurătorilor" datată / / Nr - , de regula, in ceea ce priveste erorile de masurare Nu există standarde în domeniul securității informaționale și psihologice Unul dintre analogii naționali ai standardelor enumerate este documentul de ghid al Comisiei Tehnice de Stat a Rusiei "Sisteme automatizate Protecție împotriva accesului neautorizat la informații Clasificarea sistemelor automatizate și a cerințelor de securitate a informațiilor" Natura cuprinzătoare a protecției proceselor de procesare a informațiilor se realizează prin utilizarea suportului algoritmic unificat pentru instrumentele de protecție criptografică în conformitate cu standardele de stat ruse: • GOST - "Sisteme de procesare a informațiilor Protecție criptografică Algoritm de transformare criptografică"; • GOST R - Tehnologia informației Protecția criptografică a informațiilor Proceduri pentru dezvoltarea și verificarea unei semnături digitale electronice bazate pe un algoritm criptografic asimetric"; • GOST R - "Tehnologia informaţiei Protecția criptografică a informațiilor funcția hashing"; • GOST R - "Facilitati informatice Protecție împotriva accesului neautorizat la informații Cerințe tehnice generale" Problema asigurării securității este complexă Pentru a o rezolva, este necesară combinarea atât a măsurilor legale, cât și a celor organizatorice (de exemplu, în sistemele informatice informatice la nivel managerial, conducerea fiecărei organizații trebuie să elaboreze o politică de securitate care să determine direcția generală de lucru și să aloce resurse adecvate pentru aceasta scop) și software și hardware (identificare și autentificare, control acces, înregistrare și auditare, criptografie, ecranare) Reglementare organizatorică de protecție a proceselor de prelucrare a informațiilor Legile și reglementările se execută numai dacă sunt susținute de activitățile organizatorice ale structurilor relevante create în stat, departamente, instituții și organizații Atunci când se iau în considerare problemele de securitate a informațiilor, astfel de activități se referă la metode organizaționale de protejare a proceselor de prelucrare a informațiilor Metodele organizaționale pentru protejarea proceselor de prelucrare a informațiilor includ măsuri, activități și acțiuni care Ar trebui efectuate de funcționari în procesul de creare și funcționare a CS pentru a asigura un anumit nivel de securitate a informațiilor Metodele organizaționale de protecție a proceselor de prelucrare a informațiilor sunt strâns legate de reglementarea legală în domeniul securității informațiilor La nivel organizatoric sunt rezolvate urmatoarele sarcini pentru a asigura securitatea functionarii informatiilor in CS: • organizarea lucrărilor de dezvoltare a unui sistem de protecție a proceselor de prelucrare a informațiilor; • restricţionarea accesului la obiect şi la resursele CS; • diferențierea accesului la resursele CS; • planificarea evenimentului; • elaborarea documentaţiei; • educarea și instruirea personalului de serviciu și a utilizatorilor; • certificarea mijloacelor de protecție a proceselor de prelucrare a informațiilor; • licențierea activităților de protecție a proceselor de prelucrare a informațiilor; • atestarea obiectelor de protecţie; • îmbunătățirea sistemului de protecție a proceselor de prelucrare a informațiilor; • evaluarea eficacității funcționării sistemului de protecție a proceselor de prelucrare a informațiilor; • controlul asupra implementării regulilor de lucru stabilite în CS Metodele organizaționale reprezintă nucleul unui sistem integrat de protecție a proceselor de prelucrare a informațiilor în CS Cea mai mare atenție este acordată măsurilor organizaționale atunci când sunt descrise problemele de construire și organizare a funcționării unui sistem integrat de protecție a proceselor de prelucrare a informațiilor Categorizarea obiectelor și protecția proprietății informațiilor Direcția principală în protecția proprietății informațiilor este protecția secretelor de stat, comerciale, bancare, profesionale și oficiale, a datelor personale și a proprietății intelectuale Protecția secretelor de stat Secretele de stat sunt informații protejate de stat în domeniul activităților sale militare, politice externe, economice, de informații, contrainformații și de căutare operațională, a căror difuzare poate dăuna securității Federației Ruse Informațiile pot fi considerate secret de stat (pot fi clasificate) dacă: • respectă lista informațiilor care constituie secret de stat, sunt incluse în lista informațiilor care trebuie clasificate și respectă legislația Federației Ruse privind secretele de stat (principiul legalității); • oportunitatea clasificării informațiilor specifice a fost stabilită printr-o evaluare de specialitate a consecințelor economice și de altă natură probabile, posibilitatea de a prejudicia securitatea Federației Ruse pe baza echilibrului intereselor vitale ale statului, societății și individului (principiul justificare); • restricţiile privind difuzarea acestor informaţii şi accesul la acestea se stabilesc din momentul primirii lor (elaborare) sau în prealabil (principiul oportunităţii); • autoritatile competente si functionarii acestora au luat o decizie cu privire la anumite informatii pentru a le clasifica ca secret de stat si clasificare si au stabilit un regim corespunzator de protectie juridica si protectie pentru acestea (principiul protectiei obligatorii) Protecția secretului comercial Un secret comercial este o informație care are valoare comercială reală sau potențială deoarece nu este cunoscută de terți, la care nu există acces liber în temeiul legal și la care se iau măsuri pentru a proteja confidențialitatea Este protejat cu ajutorul statului Subiecții principali ai dreptului la un secret comercial sunt deținătorii unui secret comercial, succesorii lor legali Deținătorii de secrete comerciale sunt persoane fizice (indiferent de cetățenie) și persoane juridice (organizații comerciale și necomerciale) care desfășoară activități antreprenoriale și care au drept de monopol asupra informațiilor care constituie un secret comercial pentru aceștia Cesionarii sunt persoane fizice și juridice care, în virtutea funcției lor oficiale, în temeiul unui acord sau pe alte temeiuri legale (inclusiv prin moștenire), cunosc informații care constituie un secret comercial al altei persoane În Rusia, secretele comerciale erau secrete comerciale, dar apoi, la începutul anilor , au fost lichidate ca instituție juridică și, în legătură cu naționalizarea sectoarelor economice, au fost protejate ca secrete de stat și oficiale Următoarele informații nu pot fi clasificate ca secret comercial: • cuprinse în actele constitutive; • cuprinse în documente care dau dreptul de a se angaja în activitate de întreprinzător (certificate de înregistrare, licențe etc ); • cuprinse în rapoarte anuale, bilanţuri, materiale de observaţii statistice de stat şi alte situaţii financiare anuale, inclusiv rapoarte de audit, precum şi în alte forme legate de calcularea şi plata impozitelor, plăţilor obligatorii; • care să conțină informații despre activitățile plătite ale funcționarilor publici, despre datoriile angajatorilor pentru plata salariilor și a altor plăți sociale, numărul și componența salariaților; • cuprinse în rapoartele anuale ale fondurilor privind utilizarea proprietății; • privind implementarea programului de privatizare de stat şi condiţiile de privatizare a facilităţilor specifice; • asupra mărimii proprietății și a investițiilor în privatizare; • sub rezerva dezvăluirii de către emitentul de valori mobiliare, un participant profesionist pe piața valorilor mobiliare și proprietarul valorilor mobiliare în conformitate cu legislația Federației Ruse privind valorile mobiliare; • legate de respectarea legislației de mediu și antimonopol, asigurarea condițiilor de muncă sigure, vânzarea de produse dăunătoare sănătății publice, alte încălcări ale legislației Federației Ruse, legislației entităților constitutive ale Federației Ruse și, de asemenea, care conțin date privind valoarea pierderilor cauzate în acest caz; • privind activitățile organizațiilor caritabile și ale altor organizații necomerciale care nu au legătură cu activitățile antreprenoriale; • privind disponibilitatea posturilor vacante; • privind depozitarea, utilizarea sau deplasarea materialelor și utilizarea tehnologiilor care prezintă un pericol pentru viața și sănătatea cetățenilor sau a mediului; • privind lichidarea unei persoane juridice, procedura și termenul de depunere a cererilor sau a creanțelor de către creditorii acesteia; • pentru care restricțiile privind instituirea unui regim de secret comercial sunt definite în conformitate cu legile federale și reglementările adoptate în scopul punerii în aplicare a acestora Protecția secretului bancar Secretul bancar reprezintă informații despre operațiunile bancare privind conturile și tranzacțiile în interesul clienților, conturile și depozitele clienților și corespondenților acestora, precum și informații despre clienți și corespondenți, a căror dezvăluire poate încălca dreptul la confidențialitate al acestora din urmă Principalele obiecte ale secretului bancar includ următoarele: ) secretul depozitelor bancare - informații despre toate tipurile de depozite ale clienților într-o instituție de credit; ) secretul vieții private a unui client sau corespondent - informații constituind un secret personal, de familie și protejate de lege ca date personale ale acestui client sau corespondent; ) secretul unui cont bancar - informații despre conturile clienților și corespondenților și acțiunile cu aceștia într-o instituție de credit (despre decontare, curent, buget, depozit, valută, conturi de corespondent și similare, despre deschiderea, închiderea, transferul, reemiterea conturilor) etc ); d ); ) secretul operațiunilor pe un cont bancar - informații despre acceptarea și creditarea fondurilor primite în contul clientului, îndeplinirea instrucțiunilor acestuia pentru transferul și emiterea sumelor relevante din cont, precum și despre conduita altor operațiuni și tranzacții în contul bancar prevăzut de contractul de cont bancar sau de lege Protecția secretelor profesionale Secret profesional - informație protejată de lege, încredințată sau adusă la cunoștință unei persoane (titular) numai în virtutea îndeplinirii atribuțiilor sale profesionale care nu țin de serviciul de stat sau municipal, a căror difuzare poate prejudicia drepturile și interesele legitime ale titularului sau o altă persoană (principal), care a încredințat aceste informații și nu este un secret de stat sau comercial Informațiile privind secretul profesional conform criteriilor de protectabilitate ale legii pot îndeplini următoarele cerințe: • informatia nu se refera la informatii care constituie secrete de stat si comerciale; • informaţia a devenit cunoscută sau a fost încredinţată persoanei numai în virtutea îndeplinirii atribuţiilor sale profesionale; • informația a devenit cunoscută sau a fost încredințată unei persoane care nu se află în serviciul de stat sau municipal (în caz contrar informația este considerată secret oficial); • Conform legii federale, există o interdicție privind diseminarea informațiilor de încredere sau cunoscute care pot prejudicia drepturile și interesele legitime ale mandantului În conformitate cu aceste criterii, se pot distinge următoarele obiecte ale secretului profesional Secret medical - informatii care contin: • informații despre faptul de a solicita asistență medicală, despre starea de sănătate, diagnosticul bolii și alte informații obținute în timpul examinării și tratamentului unui cetățean; • informații despre inseminarea artificială și implantarea embrionului, precum și identitatea donatorului; • rezultatele examinării persoanei care intră în căsătorie; • informații despre donator și primitor pentru transplantul de organe și (sau) țesuturi umane; • informații despre prezența unei tulburări mintale, faptele de solicitare a ajutorului și tratamentului psihiatric într-o instituție care oferă o astfel de asistență, precum și alte informații despre starea de sănătate mintală a unui cetățean; • alte informaţii din fişa medicală a cetăţeanului Secret notarial - informații încredințate notarului în legătură cu efectuarea actelor notariale Secretul avocatului - informații comunicate unui avocat de către un cetățean în legătură cu acordarea de asistență juridică acestuia Secretul comunicării - secretul corespondenței, al convorbirilor telefonice, al mesajelor poștale, telegrafice și de altă natură Secretul adopției - informații despre adopția unui copil, încredințată în mod legal altor persoane, cu excepția judecătorilor care au luat decizia privind adopția și a funcționarilor care efectuează înregistrarea de stat a acestei adopții Secretul asigurării - informații despre asigurat, persoana asigurată și beneficiar, starea de sănătate a acestora, precum și starea patrimonială a acestor persoane, obținute de asigurător ca urmare a activității sale profesionale Secretul spovedaniei - informație încredințată de un cetățean unui duhovnic la spovedanie Protecția secretelor oficiale Secret oficial - informații confidențiale protejate de lege, care au devenit cunoscute în organele de stat și administrațiile locale numai din motive legale și în virtutea îndeplinirii atribuțiilor oficiale de către reprezentanții acestora, precum și informații oficiale despre activitățile organelor de stat, acces la care este limitat de legea federală sau în virtutea necesității oficiale Un secret oficial este un tip de informații confidențiale, iar dreptul la un secret oficial este un obiect de drept independent Pentru a-și implementa protecția juridică, a fost adoptată Legea Federației Ruse "Cu privire la secrete" din iulie nr - Principalele obiecte ale secretului includ următoarele tipuri de informații: • informații oficiale despre activitățile organelor federale ale statului, accesul la care este restricționat de legea federală pentru a proteja interesele statului: secrete militare; secretul anchetei (datele anchetei preliminare sau anchetei); secretul judiciar (secretul unei ședințe a judecătorilor, conținutul discuțiilor și rezultatele votării unei ședințe închise a Curții Constituționale a Federației Ruse, materialele unei ședințe de judecată închise, secretul unei ședințe a juraților sau din cauza unei necesități oficiale, procedura de elaborare și adoptare a unei decizii, de organizare a muncii interne etc ); • informații confidențiale protejabile care au devenit cunoscute ca urmare a îndeplinirii atribuțiilor oficiale ale funcției de către o persoană a organelor de stat și a guvernelor locale: secrete comerciale, secrete bancare, secrete profesionale, precum și informații confidențiale despre viața privată a unei persoane Informațiile secrete oficiale trebuie să îndeplinească criteriile de protejare ale legii: • fii propriul tău secret oficial, de ex trebuie să fie clasificate de legea federală drept informații oficiale privind activitățile organelor de stat, accesul la care este limitat de lege sau din cauza necesității oficiale; • să fie protejate informații confidențiale de natură oficială (secretul altcuiva) ale altei persoane (secret comercial, secret bancar, secret de viață privată, secret profesional); • să nu fie secret de stat și să nu fie incluse în lista de informații, la care accesul nu poate fi restricționat; • să fie primit de un reprezentant al unui organism de stat și al unui organism de autoguvernare locală numai în virtutea îndeplinirii atribuțiilor în serviciu în cazurile și în modul stabilit de legea federală Informațiile care nu îndeplinesc aceste cerințe nu pot fi considerate secrete oficiale și nu fac obiectul protecției legale Legislația actuală oferă o listă de informații care nu pot fi clasificate drept informații oficiale cu distribuție limitată: • informații din actele legislative care stabilesc statutul juridic al organelor de stat, organizațiilor, asociațiilor obștești, informații despre drepturile, libertățile și obligațiile cetățenilor, procedura de implementare a acestora; • informații despre situații de urgență, pericole naturale și procese; informații de mediu, hidrometeorologice, hidrogeologice, demografice, sanitar-epidemiologice și alte informații necesare pentru asigurarea existenței în siguranță a așezărilor, a unităților de producție, a cetățenilor și a populației în ansamblu; • informații din descrieri ale structurilor autorităților executive, funcțiile acestora, domeniile și formele de activitate, informații despre adresa și locația acestora; • informații privind procedura de examinare și soluționare a cererilor din partea persoanelor fizice și juridice; • informare privind execuția bugetului și utilizarea altor resurse ale statului, despre starea economiei și nevoile populației; • informații din documentele fondurilor deschise ale bibliotecilor și arhivelor, sistemelor informaționale ale organizațiilor, necesare pentru realizarea drepturilor, libertăților și îndatoririlor cetățenilor Protecția datelor cu caracter personal În Europa, pentru a proteja și proteja dreptul la viață privată în contextul prelucrării automate a datelor cu caracter personal despre cetățeni, a fost introdusă o instituție specială pentru protecția juridică a persoanei, Institutul pentru Protecția Datelor cu Caracter Personal, mai mult de de persoane cu ani în urmă Peste de state europene au adoptat legi naționale privind datele cu caracter personal, o serie de țări au introdus ofițeri independenți pentru protecția datelor cu caracter personal, iar din toate țările Uniunii Europene au creat un sistem unificat de protecție a datelor cu caracter personal, inclusiv în domeniul telecomunicațiilor sector Obiectul raporturilor juridice aici este dreptul la date cu caracter personal - informații (fixate pe orice suport material) despre o anumită persoană, care este identificată sau poate fi identificată cu aceasta Datele cu caracter personal pot include informații, a căror utilizare fără consimțământul subiectului datelor cu caracter personal poate prejudicia onoarea, demnitatea, reputația comercială, bunul nume, alte beneficii intangibile și interesele de proprietate: • date biografice și de identificare (inclusiv circumstanțele nașterii, adopției, divorțului); • informații despre starea civilă (inclusiv relațiile de familie); • informatii despre proprietate, situatia financiara (cu exceptia cazurilor stabilite expres de lege); • caracteristici personale (inclusiv obiceiuri și înclinații personale); • informație despre sănătate Subiectele de drept aici sunt: • persoanele la care se referă datele relevante și moștenitorii acestora; • deținătorii de date cu caracter personal - autorități publice și administrații locale, persoane juridice și persoane fizice care colectează, stochează, transferă, clarifică, blochează, depersonalizează, distrug în mod legal datele cu caracter personal (baze de date de date cu caracter personal) Pentru datele personale și lucrul cu acestea, sunt prevăzute următoarele reguli: • datele cu caracter personal trebuie să fie obținute și prelucrate într-o manieră legală, în baza legii aplicabile; • datele sunt incluse în baze de date cu caracter personal pe baza consimțământului liber al subiectului, exprimat în scris, cu excepția cazurilor stabilite expres de lege; • datele personale trebuie colectate în scopuri bine definite și legitime, să nu fie utilizate în conflict cu aceste scopuri și să nu fie redundante în raport cu acestea Nu este permisă combinarea bazelor de date cu date personale colectate de deținători în diferite scopuri pentru prelucrarea automată a informațiilor; • datele personale furnizate de titular trebuie să fie exacte; dacă este necesar, acestea ar trebui actualizate; • datele cu caracter personal nu trebuie păstrate mai mult decât scopul cerut și să fie distruse atunci când acel scop este atins sau când nu mai sunt necesare; • datele personale sunt protejate într-un regim de informații confidențiale, care exclude distrugerea sau pierderea accidentală a acestora, accidental sau neautorizat, precum și accesul neautorizat la date, modificarea, blocarea sau transferul acestora • se instituie un regim juridic special pentru utilizarea datelor cu caracter personal ale persoanelor care ocupă cele mai înalte funcții publice și ale candidaților pentru aceste funcții Protecția proprietății intelectuale Principalele obiecte ale proprietății intelectuale includ: • opere de știință, literatură și artă; • rezultate ale activităților interpretative ale artiștilor, regizorilor, dirijorilor; • rezultate ale creativității; • înregistrarea sunetului și înregistrarea imaginilor; • transmiterea de semnale radio și televiziune; • invenţii; • desene industriale; • secrete profesionale (know-how); • modele de utilitate; • realizări de selecție; • denumirile comerciale și denumirile comerciale ale deținătorului drepturilor de autor; • mărci comerciale și mărci de servicii; • denumirile locurilor de origine a mărfurilor; • alte rezultate ale activităţii intelectuale şi mijloace de individualizare, pentru care, în condiţiile legii, pot fi recunoscute sau asigurate drepturi exclusive Răspunderea pentru încălcarea legislației în sfera informațională Răspunderea în legislația în vigoare este prevăzută în următoarele cazuri: încadrare nelegală; încălcarea cerințelor de compunere a informațiilor furnizate; nepublicat informație; încălcarea dreptului cetățenilor de a primi informații în mod gratuit; ascunderea (nefurnizarea) informațiilor despre circumstanțe care pun în pericol viața sau sănătatea umană; furnizarea de informații în timp util; ascunderea informațiilor; raportarea informațiilor false (inexacte); restrângerea dreptului de a furniza informații; denaturarea informațiilor; încălcarea liberului schimb internațional de informații Pentru lipsa de a furniza informații cetățenilor, camerelor Adunării Federale a Federației Ruse și Camerei de Conturi a Federației Ruse (articolele și ), precum și pentru disimularea informațiilor despre circumstanțe care pun în pericol viața sau sănătatea umană (articolul ) , în Codul penal al Federației Ruse, introdus în vigoare la , este prevăzută răspunderea Protecția dreptului de acces la informații poate fi realizată: • într-o formă în afara jurisdicţiei (autoapărarea drepturilor şi intereselor legitime); • într-o formă jurisdicţională (administrativă sau judiciară) Din punct de vedere administrativ - prin depunerea unei plângeri de către o persoană ale cărei drepturi au fost încălcate împotriva unui funcționar (organism) la o autoritate superioară, un organism special - Camera Judiciară pentru Litigii Informaționale din subordinea Președintelui Federației Ruse În instanță - o persoană poate alege orice modalitate de a proteja drepturile încălcate depunând o cerere (plângere) în vederea examinării în proceduri civile, administrative sau penale Atunci când examinează o cerere în cadrul unui proces civil, victima are dreptul de a utiliza principalele metode de apărare a drepturilor civile prevăzute la art din Codul civil al Federației Ruse, a intrat în vigoare la noiembrie , inclusiv impunând: • recunoașterea dreptului; • încetarea acțiunilor care încalcă dreptul sau amenință cu încălcarea acestuia; • invalidarea unui act al unui organism de stat sau al organismului de autoguvernare locală; • restabilirea drepturilor; • despăgubiri; • compensarea prejudiciului moral Cazurile de examinare a unei cereri în cadrul procedurilor administrative cu încălcarea dreptului de acces la informații obiective sunt destul de numeroase Astfel, Codul contravențiilor administrative, promulgat la decembrie , prevede răspunderea administrativă pentru următoarele încălcări: • Încălcarea dreptului cetățenilor de a se familiariza cu lista alegătorilor (articolul ); • producerea sau distribuirea materialelor de campanie anonime (art ); • Distrugerea deliberată, deteriorarea materialelor tipărite de campanie (Articolul ); • nefurnizarea sau nepublicarea rapoartelor privind cheltuirea fondurilor pentru pregătirea și desfășurarea alegerilor (referendum) (articolul ); • nefurnizarea sau nepublicarea informațiilor despre rezultatele votului sau rezultatele alegerilor (Art ); • neîndeplinirea obligațiilor de înregistrare a operațiunilor cu substanțe și amestecuri nocive în documentele navei (Articolul ); • producerea sau exploatarea mijloacelor tehnice care nu îndeplinesc standardele sau normele de stat pentru nivelurile admisibile de interferență radio (articolul ); • incapacitatea de a furniza informații autorității federale antimonopol (articolul ); • nefurnizarea informațiilor pentru întocmirea listelor de jurați (articolul ); • nerespectarea cerințelor legale ale procurorului, inclusiv furnizarea de informații (articolul ); • nefurnizarea de informații despre cetățenii care sunt sau trebuie să fie înregistrați în armată (articolul ); • Încălcarea procedurii și a termenelor de furnizare a informațiilor despre minorii care trebuie plasați în plasament etc (Articolul ); • Încălcarea procedurii de furnizare obligatorie a copiei documentelor etc (Art ); • Refuzul de a furniza informații unui cetățean (articolul ); • abuzul de libertate al mass-media (art ); • prevenirea difuzării produselor media (art ); • împiedicarea recepției de programe de radio și televiziune (art ); • Încălcarea regulilor de distribuire a mesajelor obligatorii (articolul ) În procesul penal, sunt luate în considerare cererile prevăzute de Codul penal al Federației Ruse, adoptat la iunie , pentru următoarele încălcări: • refuzul de a furniza informații unui cetățean (art ); • Ascunderea informațiilor despre circumstanțe care pun în pericol viața sau sănătatea umană (articolul ); • Refuzul de a furniza informații Adunării Federale a Federației Ruse sau Camerei de Conturi a Federației Ruse (articolul ) Întrebări de control Extindeți conținutul principiilor principale ale Doctrinei RF IS Enumerați principalele domenii ale securității informațiilor în practica mondială Formulați principalele sarcini de întreținere RF IS Dați principalele funcții ale sistemului de stat pentru asigurarea securității informațiilor din Federația Rusă Formulați sarcinile de asigurare a securității funcționării informațiilor în CS Care sunt principalele standarde interne și externe în domeniul securității informațiilor? Care sistem se numește sigur și care se numește fiabil? Care este politica de securitate? Care sunt principalele domenii ale protecției informațiilor? Ce este un secret de stat? Ce este un secret comercial? Ce este un secret oficial? Ce este un secret profesional? Ce sunt datele personale? Care sunt sursele dreptului de acces la informații? Care sunt nivelurile de acces la informații din punct de vedere legislativ? Ce este informația restricționată? Care sunt tipurile de acces la informații? Care poate fi responsabilitatea pentru încălcarea legislației în sfera informațională? capitolul BAZA METODOLOGICĂ PENTRU ASIGURAREA SECURITĂȚII INFORMAȚIILOR A VIEȚII SOCIETĂȚII ȘI A STRUCTURILOR ACESTE Abordări moderne pentru asigurarea soluționării problemelor de securitate a informațiilor din activitățile companiei Sfera informațională este astăzi un factor de bază pentru toate sferele reale ale societății Pe de o parte, determină în mare măsură starea componentelor economice, de apărare, sociale, politice și de altă natură ale securității naționale și afectează securitatea diferitelor structuri și instituții publice Pe de altă parte, securitatea informațiilor este o parte independentă a securității, al cărei rol și importanță crește constant în fiecare an Rolul special al securității informațiilor se explică prin procesele globale care sunt tipice astăzi pentru dezvoltarea socio-economică a civilizației Țările avansate, dezvoltate economic și tehnologic au intrat în stadiul unei societăți postindustriale, în care principalele forțe productive, alături de prelucrarea materiei și energiei, sunt ocupate de procese informaționale în toate sferele vieții și activităților oamenilor Schimbările cantitative ale volumului resurselor informaţionale utilizate de societate au condus inevitabil la transformarea rolului lor calitativ Da, în anii Președintele Academiei Americane de Științe F Handler a avut motive să spună că economia SUA se bazează nu pe resurse naturale, ci pe mintea și aplicarea cunoștințelor științifice Aproximativ în același timp, în URSS avea loc conștientizarea rolului social al cunoștințelor științifice, realizărilor tehnologice și resurselor informaționale (e suficient să amintim multe documente directive ale vremii care defineau sfera cea mai informatizată - știința ca forță productivă) al societatii) Una dintre principalele probleme globale de la sfârșitul secolului XX - începutul secolului XXI a devenit siguranța vieții Ideile și opiniile răspândite în opinia publică, legile și reglementările actuale disting mai multe structuri extinse orice tipuri (direcții) de siguranță Cel mai adesea se discută despre securitatea informațională militară sau de apărare, economică, socio-politică, de mediu, iar mai recent, securitatea informațiilor tehnice ca securitatea tehnosferei Este evident că o astfel de clasificare este, pe de o parte, de bază, pe de altă parte, condiționată În funcție de situația specifică și de caracteristicile condițiilor geopolitice de existență a statului și a societății, de varietatea surselor de pericol și amenințări, aceste zone de securitate pot fi detaliate în funcție de un anumit moment sau perioadă de timp Se poate vorbi și despre securitatea tehnosferei (sisteme energetice, sisteme de transport, sisteme de producție etc ), securitate alimentară etc Clasificarea tipurilor de IS ale vieții statului este prezentată în fig În prezent, informația nu este doar o marfă specifică și foarte valoroasă, ci și principala resursă strategică Infrastructura statelor este formată din rețele de telecomunicații și computere teritoriale și regionale, baze de date distribuite și cunoștințe Apare o nouă ramură a producției sociale, care acoperă procesele și mijloacele de creare, distribuire, procesare și utilizare (consumătoare) a informațiilor O parte din ce în ce mai mare a populației apte de muncă este implicată treptat în această sferă În plus, tehnologiile și instrumentele informaționale sunt introduse pe scară largă în toate sferele societății, inclusiv nu numai în cele tradiționale informatizate, cum ar fi știința, educația, managementul, afacerile militare, dar și toate celelalte - afaceri, viața de zi cu zi, activități de agrement etc În procesul de informatizare, are loc o schimbare radicală a metodelor de producție, a viziunii asupra oamenilor, a stilului și a naturii de viață, a intensității comunicării Aproape % din populație (și nu numai cei angajați în muncă productivă) participă la consumul de informații în multe țări Acest lucru sugerează că informația a devenit un produs de cea mai mare producție de masă și consum general Progresul în domeniul informatizării a dus în mod firesc la apariția unor noi concepte și, ca urmare, a unei noi terminologii Acum se vorbește deja nu doar despre informație ca atare, ci și despre o resursă informațională (a umanității, a unei națiuni, a unei țări și a unei regiuni, o ramură a economiei sau a cunoașterii, firme, întreprinderi), un spațiu informațional, o informație mediu sau o sferă în care circulă fluxuri de informaţie Concepte precum "războiul informațional", "războiul informațional" și "arme informaționale", "securitatea informațiilor", "protecția informațiilor" și "protecția împotriva informațiilor", "confruntarea informațiilor" și "terorismul informațional", "sabotajul informațional" Tipuri de securitate a informațiilor pentru viața statului Orez Clasificarea tipurilor și B a vieții statului Extragerea neautorizată sau ilegală a resurselor informaționale ale inamicului (stat, concurent, proprietar de informații) este una dintre tehnologiile de spionaj informațional Un alt pericol în securitatea informațiilor îl reprezintă interacțiunile informaționale cu scopul de a distruge sau dezorganiza resursele informaționale ale unui adversar sau concurent Acestea sunt dezinformarea, terorismul informațional și sabotajul informațional La nivelul actual de dezvoltare a tehnologiilor informaționale, astfel de influențe pot fi realizate în multe feluri și conduc fie la distrugerea (pierderea) informațiilor valoroase, fie la denaturarea acesteia, fie la introducerea de informații false în scopul dezorganizarii, dezorientarii , creați condiții pentru luarea unor decizii greșite SI-ul individului și al societății este asociat cu influențe în spațiul informațional Aici, impactul asupra psihicului și conștiinței, inclusiv asupra publicului, iese în prim-plan Pentru un astfel de impact s-au dezvoltat metode care pot fi utilizate pe scară largă bazate pe dezinformare, șantaj informațional folosind rezultatele monitorizării electronice a vieții oamenilor, activitățile lor politice și planurile personale, folosind toată puterea mass-media moderne Importanța ultimului tip de securitate a informațiilor a condus la necesitatea luării în considerare a unei noi direcții - securitatea informațională și psihologică Informațiile și securitatea psihologică sunt asociate cu protecția cetățenilor, a grupurilor individuale și a straturilor sociale, a asociațiilor de masă ale oamenilor și a populației în ansamblu de informațiile negative și influențele psihologice Sistemele de aplicații critice sunt de cel mai mare interes în impactul informației Astăzi, se obișnuiește să se numească astfel de sisteme, a căror încălcare duce la o dezorganizare directă și bruscă a managementului și la perturbarea funcționării structurii protejate Toate sistemele moderne de aplicații critice sunt suficient de computerizate și au software-ul corespunzător Securitatea informației este o parte importantă și integrantă a războiului informațional, care poate fi privită ca o confruntare în spațiul informațional folosind "arme informaționale", care, la rândul său, este un mijloc de impact informațional asupra obiectului corespunzător (oameni, control și sisteme de comunicații, mijloace de stocare și prelucrare a informațiilor etc ) Spre deosebire de armele tradiționale, inclusiv armele nucleare, "armele informaționale" pot fi și mai eficiente în unele condiții moderne În prezent, practic nu există restricții pentru folosirea acestor arme chiar și în timp de pace Astfel, influențele rău intenționate asupra unui sistem tehnic pot fi exercitate deja în etapa de proiectare și creare a acestuia sub forma introducerii deliberate a unor defecte speciale de tip sabotaj (de exemplu, erori software și viruși) în software Una dintre cele mai importante probleme a fost și rămâne asigurarea securității socio-politice, care presupune protejarea intereselor vitale ale actorilor sociali la nivel macro și micro, păstrarea și dezvoltarea potențialului uman, menținerea stimulării eficiente a oamenilor activități, socializarea lor și sistemele de susținere a vieții, valori durabile, moralitate Este important să se asigure nevoia de informații pentru dreptul de a primi și utiliza informații Tehnologiile informaționale moderne fac posibilă influențarea eficientă a psihicului oamenilor, creând noi forme de manipulare a conștiinței individuale, de grup și de masă Desigur, astfel de forme de agresiune informațională și psihologică trebuie echilibrate prin măsuri eficiente pentru a asigura securitatea informațională corespunzătoare După cum sa menționat deja, baza economiei unui stat dezvoltat o reprezintă resursele informaționale Conceptul de resurse informaționale naționale se pretinde astăzi a fi o nouă categorie economică Dar resursele informaționale sunt un produs direct al activității intelectuale a părții cele mai calificate și creativ active a populației apte de muncă a țării Prejudiciul cauzat resurselor informaţionale ale oricărei structuri (stat, firmă) afectează direct interesele securităţii economice De asemenea, este important ca spațiul informațional să nu aibă frontiere de stat, să nu aibă astfel de instituții de protecție a intereselor statului, precum serviciile de frontieră și vamale Astăzi, unul dintre cele mai semnificative obiecte de securitate în sfera apărării îl reprezintă resursele informaţionale şi structura informaţională a potenţialului de apărare al ţării (forţe armate, facilităţi militare şi militaro-industriale) Aceste sisteme pot fi foarte vulnerabile la impactul armelor informaționale atât în timp de război, cât și în timp de pace Datorită introducerii ascunse de marcaje software și viruși în software, mijloacele de descurajare a agresorului sunt complet sau parțial neutralizate până la începerea perioadei amenințate Una dintre cele mai importante probleme la scară globală astăzi este problema asigurării siguranței mediului Ea este asociat cu protejarea intereselor individului, societății și statului de amenințările potențiale și reale create de consecințele impactului antropic asupra mediului, precum și de dezastrele naturale și catastrofe Problema informatizarii in asigurarea securitatii mediului este foarte complexa: multifatetata, complexa, multifatetata Este indisolubil legată de alte tipuri de I&B ale vieții statului (vezi Fig ) Pentru a evalua încărcătura asupra mediului I în ecologie, se utilizează formula de dezvoltare globală a lui D Meadows: I=NAT, ( ) unde N este populația; A este nivelul de bunăstare (consum pe cap de locuitor); T - daune tehnologice cauzate de producerea unei unități de producție folosind această tehnologie Această relație vă permite să găsiți o relație directă între informație, tehnologia informației și povara asupra mediului Într-adevăr, pentru a reduce povara asupra mediului, este necesară o tranziție către tehnologii ecologice, care economisesc energie și resurse, fără deșeuri Și acest lucru este posibil doar în condițiile unei restructurări radicale a economiei prin informatizarea acesteia, dezvoltarea și introducerea pe scară largă a noilor tehnologii informaționale în toate domeniile economiei, inclusiv în domeniile producției materiale și energetice, a întregii societăți a vieții umane În formula ( ), factorul A caracterizează nivelul de bunăstare, adică informatica unui standard rezonabil de consum Ar trebui să fie informații oportune, fiabile și obiective, fără denaturări și substituții conștiente și accidentale Partea tehnologică a SI a vieții statului ar trebui să includă nu numai mijloace tehnice și tehnologii pentru asigurarea SI, ci și implementarea acestora la mari obiecte vitale ale funcționării statului: sisteme energetice și sisteme de transport, producție industrială de bază etc Rezolvarea cu succes a problemelor suportului tehnic SI este baza pentru funcționarea stabilă și fiabilă a întregului sistem SI al statului Crearea și organizarea funcționării oricăror structuri și sisteme moderne (în special, întreprinderi de orice formă organizațională și formă de proprietate), în primul rând, necesită asigurarea interacțiunii lor informaționale cu mediul extern, care ar trebui să fie la fel de fiabil și sigur ca posibil Metodologia confruntării informaţionale Scopurile, obiectivele, semnele și conținutul confruntării informaționale geopolitice Scopul GUI este de a rezista și de a contracara agresiunea informațională, precum și încălcarea securității informaționale a unui stat ostil În anumite cazuri, se urmărește distrugerea integrității (stabilității) sistemului de administrare statală și militară a statelor străine, impactul informațional efectiv asupra conducerii acestora, elitei politice, formarea opiniei publice și sistemele decizionale Unul dintre cele mai importante obiective ale GUI este de a oferi securitatea informațiilor Federației Ruse pentru a câștiga superioritatea informațiilor în spațiul informațional global Războiul informațional (în sfera politică) include trei componente: ) analiza politică strategică; ) impactul informațional; ) contracararea informaţiei În același timp, războiul informațional se desfășoară la următoarele niveluri: • strategic; • operațional; • tactic Trebuie să se distingă două tipuri de război informațional: informațional-psihologic și informațional-tehnic, care afectează obiectele socio-biologice și tehnice (Fig ) La nivel strategic al confruntării geopolitice informaționale, cele mai înalte organe ale puterii de stat din Rusia ar trebui să acționeze în principal, iar serviciile speciale și marile afaceri să acționeze la nivel operațional și tactic Influența este o acțiune îndreptată către cineva cu scopul de a realiza ceva, de a inspira ceva În psihologie, influența este înțeleasă ca un transfer intenționat de mișcare și informații de la un participant la interacțiune la altul Impactul poate fi direct (de contact) și indirect (la distanță, cu ajutorul a ceva) După cum s-a menționat mai devreme, există anumite caracteristici ale funcționării informației în societate: domeniul de circulație, timpul de circulație, direcția mișcării, colorarea emoțională a informației, modul în care este procesată informația, scopul procesării informației Impactul este scopul proceselor de prelucrare a informațiilor Orez Clasificarea obiectelor de război informațional La desfășurarea războiului informațional, obiectele de influență pot fi: psihicul oamenilor, sistemele informatice și tehnice de diferite dimensiuni și scopuri, sistemul de formare, distribuire și utilizare a resurselor informaționale, sistemul de formare a conștiinței publice (cu ajutorul propagandei și mass-media), sistemul de formare și funcționare a opiniei publice, sistem decizional Obiectele de influență pot fi împărțite în tehnică (sunt în principal în sfera intereselor informației și a luptei tehnice) și socio-biologice (li se acordă o atenție deosebită în cursul luptei informaționale și psihologice) Rolul obiectelor tehnice poate fi sistemele de control și comunicare, activitățile financiare și economice ale statului etc Dacă vorbim despre obiecte socio-biologice, atunci acestea includ indivizi, grupuri sociale, societate, statul, comunitatea mondială, fauna sălbatică, structurile geologice și flora Principalele elemente sociale ale societății sunt grupurile sociale și indivizii Pentru a proteja împotriva impactului negativ al facilităților sociale în timpul GIP global, este necesar să se creeze un sistem de informații și sprijin psihologic ca parte integrantă a securității naționale a Rusiei Acest sistem ar trebui să asigure protecția psihicului elitei politice și a populației Rusiei de informațiile negative și de impactul psihologic (adică, protecția rușilor de fluxurile de informații negative ale oponenților geopolitici ai Rusiei) Sarcina sa principală este de a asigura securitatea psihologică a populației și a elitei politice a Rusiei Informația și impactul psihologic (IPI) reprezintă o producție și diseminare intenționată de informații speciale care au un impact direct (pozitiv sau negativ) asupra funcționării și dezvoltării mediului informațional și psihologic al societății, asupra psihicului și comportamentului elitei politice și asupra populația Rusiei Influența psihologică și propagandistică este un fel de influență informațională și psihologică În legătură cu apariția și dezvoltarea accelerată a mass-media, rolul opiniei publice a crescut brusc, care a început să influențeze procesele politice din societate într-un mod colosal, caracteristicile funcționării mediului informațional și psihologic al societății Prin urmare, sistemul de formare a opiniei publice este și unul dintre principalele obiecte de informare și sprijin psihologic Armele informaționale sunt metode, dispozitive și mijloace concepute pentru a inflige părții adverse daune maxime în cursul războiului informațional (prin impacturi informaționale periculoase) În cazurile în care armele informaționale sunt folosite direct sau indirect împotriva psihicului unei persoane (sau a unui grup social), atunci ar trebui să vorbim despre războiul informațional-psihologic În practică, pot fi denumite doar trei obiecte de influență, fiecare aparținând unui anumit tip de război informațional (în forma sa pură): sisteme informatice și tehnice, sisteme informaționale și analitice (fără a include o persoană) și resurse informaționale (vezi Fig ) Sursele de informații pericolele pot fi naturale (obiective) și intenționate Confruntarea informațională, precum războiul informațional, include trei componente: ) analiza strategică politică și socio-economică; ) impactul informațional; ) contracararea informaţiei Având în vedere teoria confruntării informaționale în sfera politică și socio-economică, trebuie avut în vedere faptul că aceasta are loc la nivel strategic, operațional și tactic Informația și impactul psihologic reprezintă o producție și diseminare intenționată de informații speciale care au un impact direct (pozitiv sau negativ) asupra funcționării și dezvoltării mediului informațional și psihologic al societății, asupra psihicului și comportamentului conducerii la diferite niveluri și asupra populației a Rusiei Influențele psihologice și propagandistice sunt un fel de influență informațională și psihologică Trebuie remarcat faptul că influențele informaționale sunt periculoase sau utile nu atât în sine, ci pentru că "lansează" procese puternice material-energetice și le controlează Esența influenței colosale a informațiilor constă tocmai în capacitatea acesteia de a "pune" controlul proceselor sociale, de a influența parametri care sunt cu multe ordine de mărime mai mari decât informațiile de control în sine De o importanță deosebită este utilizarea infologem-urilor O infologem este o informație falsă, distorsionată sau incompletă care reprezintă evenimente reale - mituri ideologice, inventii de propagandă politică Infologemele se nasc ca urmare a unor influențe manipulative conștiente, intenționate sau, mult mai rar, a iluziilor inconștiente Infologemele sunt capabile de auto-reproducere extinsă, auto-multiplicare Ei pentru viziuni asupra lumii în conștiința individuală, de grup și de masă, stereotipuri stabile ale comportamentului individual și social, valori și orientări ale generațiilor viitoare Sarcina unui profesionist în războiul informațional este de a discerne la timp infologemele inamicului și de a răspunde în timp util Producția de infologem este întotdeauna distructivă Ele zac pe terenul fertil al psihologiei umflate a maselor, sunt introduse imediat în canalele de informare și curg cu ușurință în diverse domenii ale vieții spirituale Infologemele sunt deosebit de eficiente în timpul alegerilor, adică în perioada de agravare a situației politice, care este inevitabil în timpul procesului electoral Apoi sunt produsul principal al activității tehnologilor politici Consultanții politici, inclusiv jurnaliștii care își furnizează materialele în presa scrisă și electronică și pe internet, folosesc pe scară largă infologele electorale Unul dintre cele mai comune exemple este "cifra implicită" (se raportează că candidatul a fost adus în judecată, dar nu se spune nimic despre natura și momentul infracțiunii) În general, informațiile atent dozate pot distorsiona semnificativ percepțiile alegătorilor despre candidați și programele acestora Majoritatea infologemilor socio-politice au două caracteristici: ) xenofobie, ura față de ceilalți; ) dorința de a găsi inamicul, vinovatul de necazurile lor În situații de criză ale procesului electoral, pline de un deznodământ incert, infologemele îndeplinesc următoarele funcții: ) securitate; ) argumentativ; ) comentarea; ) proclamarea; ) distragerea atenției; ) ascunderea; ) orientarea falsă (orientarea în direcții greșite); ) dezorientarea (înlocuirea reperelor) Tehnologii de informare și manipulare Tehnicile de manipulare folosite, opțiunile și modificările acestora sunt foarte diverse Pentru a determina "nucleul" elementelor tehnologice ale sistemului de influență manipulativă, se utilizează un criteriu complex, care se bazează pe luarea în considerare a unei combinații a trei factori principali: • frecvenţa utilizării tehnicilor în diverse tehnologii manipulative; • amploarea aplicării lor în diverse situații de informare și comunicare; • gradul de eficacitate asociat cu creșterea efectului influenței manipulative asupra unei persoane Din punct de vedere al istoriei, este corect să remarcăm că una dintre primele încercări de sistematizare a metodelor IPV asupra conștiinței de masă cu ajutorul propagandei a fost descrierea într-o serie de surse străine și interne a tehnologiilor stereotipurilor și " mare minciună", precum și identificarea următoarelor metode principale de IPV, destul de cunoscute specialiștilor ca ABC-ul propagandei • "lipire sau etichetare" (denumire); • "generalizări strălucitoare" sau "incertitudine strălucitoare" (generalitate strălucitoare); • "transfer" sau "transfer" (transfer); • "referire la autorități", "prin recomandare", "probe" sau "mărturie" (mărturie); • "băieții lor" sau "jocul oamenilor de rând" (oameni simpli); • "amestecare" sau "jonglare cu cărți" (stivuire cârd); • "vagon comun", "peron comun" sau "dubă cu orchestră" (vagon bând) Au găsit o aplicație largă în campaniile de publicitate și propagandă, iar în prezent, ca tehnologii IPV, sunt utilizate activ și de mass-media rusă Luați în considerare tehnologia de aplicare a acestor tehnici "Lipire sau etichetare" Această tehnică constă în alegerea unor epitete jignitoare, metafore, nume, nume - așa-numitele etichete - pentru a desemna, a numi o persoană, organizație, idee, orice fenomen social Aceste "etichete" evocă atitudini negative din punct de vedere emoțional ale altora, sunt asociate cu fapte (comportament) scăzute (necinstite și dezaprobate social) și, astfel, sunt folosite pentru a defăima o persoană, idei și propuneri exprimate, o organizație, un grup social sau un subiect de discuţie în ochii publicului "Generalizări strălucitoare" sau "indeterminare strălucitoare" Această tehnică constă în înlocuirea numelui, desemnării unui anumit fenomen social, idee, organizare, grup social sau o anumită persoană cu un nume generic mai general, care are o conotație emoțională pozitivă și evocă o atitudine binevoitoare a celorlalți Se bazează pe exploatarea sentimentelor și emoțiilor pozitive ale oamenilor față de anumite concepte și cuvinte, precum "libertate", "democrație", "patriotism", "commonwealth", "pace", "fericire" etc "dragoste", "succes", "victorie", "sănătate", etc Astfel de cuvinte, care au un impact psiho-emoțional pozitiv, sunt folosite pentru a împinge decizii și opinii, evaluări și acțiuni care sunt benefice pentru o anumită persoană, grup sau organizație "transfer" sau "transfer" Esența acestei tehnici constă în faptul că abil, discret și imperceptibil pentru majoritatea oamenilor răspândește autoritatea și prestigiul a ceea ce prețuiesc și respectă asupra a ceea ce îi prezintă sursa de comunicare Folosirea "transferului" inițiază asociații, formează legături asociative ale obiectului prezentat cu cineva sau ceva care are valoare și semnificație printre altele Un "transfer" negativ este folosit și prin inducerea de asocieri cu concepte clar negative și fenomene, evenimente, acțiuni, fapte, oameni dezaprobate social etc Este folosit pentru a discredita anumite persoane, idei, situații, grupuri sociale și organizații "Referire la autorități", "prin recomandare", "probe" sau "martori" Această tehnică constă în aducerea declarațiilor unor indivizi cu înaltă autoritate, sau, dimpotrivă, a unor astfel de indivizi care provoacă o reacție negativă în categoria persoanelor supuse influenței manipulative Declarațiile folosite conțin de obicei judecăți de valoare despre oameni, idei, evenimente, programe, organizații și își exprimă condamnarea sau aprobarea Astfel, la o persoană ca obiect de influență manipulativă, se inițiază formarea unei atitudini adecvate - pozitivă sau negativă emoțional "Băieții voștri" sau "jucându-se cu oamenii de rând" Uneori sunt folosite și nume precum "băiat-cămașă", "oameni de rând", "simplu" Scopul acestei tehnici este de a încerca să stabilească relații de încredere cu publicul, ca și cu oameni simpatici, pe baza faptului că comunicatorul, ideile, sugestiile, afirmațiile sale sunt bune, deoarece aparțin oamenilor de rând Destul de des, această tehnică este folosită pentru a crea o atitudine pozitivă față de o anumită persoană, care în acest caz este obiectul reclamei și promovării informației, o campanie de propagandă pentru a forma o imagine concepută (construită) pentru el - "un om din popor ", și, astfel, formarea încrederii în el și a atitudinii pozitive "Amestecare" sau "Jonglerie cu cărți" Această tehnică constă în selectarea și prezentarea părtinitoare a faptelor și argumentelor numai pozitive sau negative, în timp ce se suprimă contrariul Scopul său principal este de a folosi rebounding unilateral și prezentarea de fapte, dovezi, argumente, pentru a arăta atractivitatea sau, dimpotrivă, inacceptabilitatea oricărui punct de vedere, program, idee etc "vagon comun", "platforma comună" sau "vagon cu bandă" Atunci când se utilizează această tehnică, sunt selectate judecăți, afirmații, fraze care necesită uniformitate în comportament, creând impresia că toată lumea face acest lucru Mesajul, de exemplu, poate începe cu cuvintele: "Toți oamenii normali înțeleg că " sau "Nici o persoană sănătoasă nu va obiecta că ", etc Prin intermediul unei "platforme comune", unei persoane i se evocă un sentiment de încredere că majoritatea membrilor unui grup, a unei anumite comunități sociale, cu care, în special, se identifică sau a cărei opinie este semnificativă pentru el, acceptă anumite valori, idei, programe, împărtășiți punctul de vedere propus Tehnologiile IPV folosesc multe alte tehnici care au, de asemenea, efecte bune asupra oamenilor "Bata de joc" Atunci când se utilizează această tehnologie, atât indivizii specifici, cât și opiniile, ideile, programele, organizațiile și activitățile acestora, diferite asociații de oameni împotriva cărora există o luptă pot fi ridiculizate Alegerea obiectului ridicolului se realizează în funcție de scopuri și de situația specifică de informare și comunicare "Metoda grupurilor de referință negative" Tehnologia de utilizare a acestei metode, indiferent de conținutul opiniilor și ideilor, este aceeași În fiecare caz, se argumentează că acest set de vederi este singurul corect Toți cei care împărtășesc aceste opinii au niște calități valoroase, într-un anumit sens mai bune decât cei care împărtășesc altele (adesea opuse sau fundamental diferite de cele promovate) "Repetarea sloganurilor" sau "repetarea frazelor formulate" Condiția pentru eficiența utilizării acestei tehnologii este, în primul rând, un "slogan adecvat", adică o afirmație relativ scurtă formulată astfel încât să atragă atenția și să influențeze imaginația și sentimentele cititorului sau ascultătorului La construirea acestuia se folosesc proceduri psiholingvistice și, în special, încărcătura simbolică a fonemelor din cuvintele folosite Folosirea tehnicii "repetării sloganurilor" presupune că ascultătorul sau cititorul nu se va gândi la sensul cuvintelor individuale folosite în slogan, nici la corectitudinea întregii formulări în ansamblu "Ajustare emoțională" Această tehnologie poate fi definită ca o modalitate de a crea o stare de spirit în timp ce se transmite anumite informații Starea de spirit este evocată într-un grup de oameni prin diferite mijloace (adecvate mediu extern, anumite momente ale zilei, iluminare, stimulente de lumină, diverse forme teatrale, muzică, cântece etc ) Pe acest fond, se transmit informații relevante, dar se străduiesc să se asigure că nu există prea mult În psihologie, există un termen special - "fascinație", care se referă la condițiile de creștere a eficacității materialului perceput prin utilizarea influențelor de fond concomitente Cel mai adesea, această tehnologie este folosită în spectacole de teatru, programe de jocuri și spectacole, la evenimente religioase (culte) etc "Promovarea informaţiei prin mediatori" Această tehnologie, după cum arată studiile, se bazează pe faptul că procesul de percepere a informațiilor semnificative și, în special, a anumitor valori, opinii, idei și evaluări are adesea un caracter în două etape Aceasta înseamnă că un impact informațional eficient asupra unei persoane este adesea realizat nu direct din mass-media, ci prin intermediul unor persoane cu autoritate semnificative pentru el Liderii informali, politicienii, reprezentanții confesiunilor religioase, personalitățile culturale, oamenii de știință, artiștii, sportivii, militarii etc pot acționa ca mediatori în diverse situații și pentru diferite grupuri și pături sociale Efectul manipulativ este sporit prin intercalarea evaluărilor directe sau indirecte ale liderilor și a evenimentelor aflate în desfășurare în programe de divertisment și interviuri, ceea ce contribuie la efectul dorit asupra nivelului subconștient al psihicului uman "Alegere imaginară" Metodologia acestei tehnologii constă în faptul că ascultătorii sau cititorii sunt informați despre mai multe puncte de vedere diferite asupra unei anumite probleme, dar în așa fel încât să prezinte imperceptibil în lumina cea mai favorabilă pe cea pe care doresc să fie acceptată de către public "Inițierea confruntării informaționale" Una dintre tehnologiile eficiente de impact informațional asupra unor grupuri mari de oameni este inițierea unui val informațional secundar, a cărui esență este de a desfășura o campanie de propagandă de o asemenea natură încât o obligă să fie acoperită într-o serie de mass-media Este posibil ca nu conținutul acțiunii în sine, ci acoperirea acesteia în unele mass-media să fie făcută în așa fel încât să oblige un număr semnificativ mare de mass-media să comenteze mesajele inițiale, multiplicând astfel puterea informațională și psihologică impact Un mesaj de informare este răspândit în alte medii, adică este creat un așa-numit val informațional primar Scopul principal utilizarea acestei tehnici este de a crea un val informațional secundar la nivelul comunicării interpersonale prin inițierea unor discuții adecvate, evaluări și apariția unor zvonuri relevante Toate acestea fac posibilă atingerea și sporirea efectului informației și al impactului psihologic asupra publicului țintă Nu se poate spune că metodele și tehnicile menționate anterior fac posibilă convingerea majorității oamenilor de orice Desigur, cu ajutorul lor pot fi obținute rezultate semnificative, mai ales dacă acest lucru este realizat conform unui program atent planificat și pe termen lung, care implică specialiști competenți de înaltă calificare Utilizarea tehnicilor de manipulare, inclusiv utilizarea lor complexă și masivă, are un efect mult mai mic într-un public informat, cu un sistem stabil de opinii rezonabile, precum și cunoașterea tehnologiei influenței manipulative și având o anumită experiență în protecția socio-psihologică țintită Zvonurile ca tehnologie a confruntării informaționale Este logic să se evidențieze utilizarea acestei tehnologii separat, deoarece este implementată ca urmare a aplicării unui complex de tehnici diferite Există, de asemenea, o serie de premise de natură socio-psihologică care contribuie la apariția și răspândirea zvonurilor în rândul oamenilor Mecanismele psihologice ale apariției și răspândirii zvonurilor au atras de multă vreme atenția cercetătorilor De regulă, efectul utilizării informațiilor false este de natură pe termen scurt, mai ales în perioada în care efectul de propagandă se realizează în condiții de deficiență de informații Experimentele efectuate de specialiști au arătat că natura acestor distorsiuni este direct legată de atitudinile sociale pe care le au oamenii, așa-numiții factori predispoziționali - o persoană este subconștient reglată pentru a percepe, în primul rând, exact ceea ce se așteaptă În plus, distorsiunea este determinată și de caracteristicile și mecanismele percepției umane și a relațiilor dintre oameni în procesul de comunicare Sistemul de zvonuri este conceput pentru a răspândi informații de orice fel și a crea o anumită dispoziție în rândul populației Prin zvonuri, este posibil să recâștige materiale calomnioase sau să răspândești "subiecte" care reduc ratingul adversarului Prin intermediul rețelei de "zvonuri" sunt stabilite ocazii informaționale, care sunt apoi redate în mass-media De exemplu: "Populația spune că dar este adevărat?" Există și alte forme, dar totul depinde de zvon și de ceea ce a fost urmărit în mod specific la crearea și răspândirea zvonului Toate zvonurile sunt discutate și primesc o referință teritorială clară în ceea ce privește distribuția și orientarea ideologică Principalele direcții ale sistemului de zvonuri: • crearea condiţiilor favorabile pentru desfăşurarea propagandei şi agitaţiei în favoarea cuiva; • creșterea ratingului obiectului; • dezvoltarea la timp a ocaziilor informaţionale; • atragerea atenţiei asupra publicaţiilor; • crearea condiţiilor pentru respingerea atacurilor calomnioase ale adversarilor; • crearea artificială de ocazii informaţionale atât pentru apărare, cât şi pentru atac; • posibila inducere in eroare a populatiei; • discreditarea adversarilor Obiecte ale răspândirii zvonurilor: • locurile imediate de muncă; • terenuri de grădină, dachas (dacă există); • locatari, cunoscuți; • orice evenimente la care au participat "zvonuri" Procesele tehnologice ale sistemului de zvonuri: ) se stabilește subiectul "zvon"; ) se scrie un scenariu; ) instructorul și scenaristul elaborează posibile opțiuni pentru prezentarea zvonului; ) se efectuează o excursie pe teritoriu și se adună oameni pentru a desfășura instruire în tehnicile de prezentare a auzului; ) se efectuează un briefing cu privire la procedura de lucru cu o anumită audiere; ) se stabilește durata audierii Forme de aplicare a tehnologiei sistemului de zvonuri: • povestea unei persoane la alta despre ceea ce a auzit sau citit undeva (în cazul "citește" la sarcină se indică ediția); • schimb de opinii despre "materialul" citit într-o formă convenabilă nouă (dacă este necesar se indică ediția); • o poveste despre ceea ce am auzit de la prietenul meu despre TEMA (forma povestirii este în secret; folosirea expresiilor: "Am învățat prima dată din surse de încredere", "Acest lucru este cu siguranță verificat"); • conversație confidențială cu prietenii și cunoscuții și traducerea conversației pe o anumită temă cu exprimarea OPINIEI NOASTRE, INFORMAȚII; • conversație cu familia și rudele apropiate De exemplu: "Conduceam și am auzit în transportul că se certau sau vorbeau despre SUBIECT" În conformitate cu caracteristica informațiilor, zvonurile sunt împărțite în patru tipuri principale: • zvonuri absolut false; • zvonuri nesigure cu elemente de plauzibilitate; • zvonuri credibile; • zvonuri de încredere cu elemente de neplauzibilitate Pe baza caracteristicii expresive și a reacției emoționale generale evocate, zvonurile sunt împărțite în următoarele tipuri: • Zvonuri-dorinte, cand informatia difuzata vizeaza sau duce obiectiv la dezamagire fata de asteptarile viitoare care nu s-au implinit si provoaca o demoralizare corespunzatoare a oamenilor; • Zvonuri de sperietoare, a căror difuzare cea mai eficientă are o bază psihologică favorabilă într-un mediu cu stări predominante de anxietate, incertitudine și frică și, de obicei, demoralizează semnificativ oamenii, blochează îndeplinirea îndatoririlor lor sociale și dezorganizează activitățile oportune; • disocierea zvonurilor agresive, provocarea discordiei în relațiile oamenilor, încălcarea legăturilor sociale obișnuite și a formațiunilor organizatorice și structurale cu suspiciune și neîncredere reciprocă, ostilitate și ură față de indivizi sau grupuri de oameni În funcție de gradul de influență asupra psihicului oamenilor, zvonurile sunt, de asemenea, împărțite: • asupra tulburării opiniei publice a anumitor grupuri de persoane, dar fără a provoca forme explicite de comportament antisocial; • provocarea unui comportament antisocial al unei anumite părți a anumitor grupuri sociale, distrugerea legăturilor sociale și a relațiilor organizaționale și manageriale dintre oameni și duce la revolte, panică etc Provocațiile ca tehnologii ale războiului informațional Chiar și în cele mai vechi timpuri, în luptă, părțile aflate în conflict au folosit metode de primul nivel, conform cărora, în absența sau insuficiența unor evenimente care să poată servi drept ocazii de informare necesare, acestea au fost create intenționat Asasinarea ambasadorilor, transformarea protestelor pașnice în revolte agresive datorită acțiunilor provocatorilor infiltrați, actele teroriste și multe alte acțiuni organizate sunt realizate cu scopul de a răspândi panică și groază Este de remarcat faptul că multe dintre regulile și tehnicile de desfășurare a războaielor psihopolitice, folosite de civilizațiile antice, sunt încă folosite și acum, în ciuda faptului că lumea a intrat în mileniul trei Al doilea nivel al IPV de natură manipulativă se referă la utilizarea diferitelor mijloace și tehnologii în lupta politică internă, conjunctura economică curatarea şi activităţile organizaţiilor aflate în stare de confruntare conflictuală Al treilea nivel al IPV include manipularea oamenilor unii cu alții în procesul de interacțiune interpersonală Caracteristicile economice ale pieței, în special cea care are loc în practica Rusiei moderne și a întregului spațiu post-sovietic, literalmente în fața ochilor noștri, au adus schimbări fundamentale în comportamentul unei părți uriașe a populației, marea majoritate a cărora s-a dovedit a nu fi pregătit nici din punct de vedere psihologic, nici moral pentru regulile stricte de supravieţuire conform legilor individualismului Realizări tehnice ale secolului XXI au oferit noi oportunități calitativ mass-media, care în mâinile unei părți limitate a populației se transformă într-un instrument puternic de extindere a informației Adevăratul pluralism în mass-media, precum și influența maselor asupra politicii informaționale a companiilor private și publice, este rară și este mai degrabă excepția decât regula din cauza lipsei unei adevărate independențe media Cu toate acestea, lumea se află în pragul unei alte progrese în diseminarea informațiilor, datorită extinderii rețelelor de cablu și satelit la nivel mondial, care la rândul lor conduc la noi tehnologii IPV Sistemul de opinii existent în Rusia privind informarea și sprijinul psihologic în fața realității s-a dovedit a fi ineficient din cauza lipsei de fundamente teoretice acceptate legal, unități speciale și interpreți neprofesioniști Sunt necesare măsuri pentru organizarea finanțării și desfășurarea activității de cercetare de stat pentru a crea tehnologii eficiente pentru asigurarea securității psihologice a elitei politice și a populației Rusiei în contextul unei confruntări informaționale și psihologice globale între țările lider ale lumii "Haosul organizat" ca tehnologie a războiului informațional Această tehnologie este eficientă atunci când este aplicată atât statelor, cât și civilizațiilor Esența acestei tehnologii constă în introducerea interferenței distructive în ființa obiectului de aplicare ca o comunitate organizată și un sistem de relații stabilite istoric (în sistemul de control și putere) pentru dezintegrarea sa independentă ulterioară Cel mai "avansat" tip al acestei tehnologii este renașterea elementelor sistemului și a subsistemelor sale prin schimbarea semnificației și semnului funcționării lor Scopul acestei tehnologii este acela de a priva inamicul nu numai de voința de a rezista, ci și de a-l regenera mental, astfel încât să-și perceapă noul rol de "stăpânire a spațiului și re sursa" cu bucurie si entuziasm Acesta este cel mai groaznic lucru din întregul spectru de tehnologii și cele mai recente mijloace operaționale de confruntare a informațiilor, deoarece tot ceea ce face dintr-o națiune o națiune, un popor un popor, o civilizație (această formă specială și cea mai înaltă de comunitate umană) o civilizație este o civilizație supus ştergerii şi renaşterii Tehnologia principală pentru schimbarea semnului culturii naționale este de a da tuturor fenomenelor vieții și culturii o formă de marfă (alienabilă, de schimb), ceea ce duce la transformarea tuturor fostelor sanctuare și valori naționale într-o marfă prozaică Toate tradițiile istorice și însăși istoria poporului (obiectul dezvoltării) sunt supuse ridicolului, prostiei și interpretării ironice Principalele tehnologii de dezavuare a drepturilor popoarelor din propria țară, inclusiv dreptul lor de a acționa ca un suveran politic cu drepturi depline și ca singura sursă legitimă de putere, sunt: ) lumpenizarea violentă (obligatorie) a populației; ) "clanarea" vieții politice a țării; ) atotputernicia "resursei administrative a puterii", în care voința poporului pur și simplu nu-i interesează, deoarece puterea poate obține întotdeauna rezultatul de care are nevoie "Clanarea" populației țării duce la faptul că doar membrii clanurilor vor supraviețui De asemenea, vor avansa în viață, de regulă, în ierarhia propriilor clanuri Lupta clanurilor (reprezentanții și lobbyiștii acestora) înlocuiește lupta partidelor politice, adică democrația populară reprezentativă În acest caz, poporul însuși se dovedește a fi inutil ca purtător principal al suveranității politice și singura sursă de legitimitate a puterii O metodă eficientă de introducere a tehnologiei "haosului organizat" și o condiție prealabilă pentru eficacitatea acesteia este îndepărtarea de la națiune (și elita ei) cunoașterea și sentimentul unui război purtat împotriva țării Chaotizarea sistemului de management superior se realizează în următoarele moduri: • modificarea priorităţilor de stabilire a obiectivelor statului; • deprofesionalizarea şi incapacitatea aparatelor sale; • crearea unei atmosfere de lipsă totală de control și iresponsabilitate personală a membrilor săi; • posibilitatea oricăror arbitrariuri cu privire la orice cetățeni și structuri ale statului Strategia statului se construiește în urma planurilor conturate pentru îmbogățirea personală a elitei, iar toată puterea statului este îndreptată către implementarea acestor planuri și neperisarea rezultatelor acestora Haotizarea sistemului de execuție se realizează prin aceleași metode la toate nivelurile, dar pe lângă acestea se folosesc metode pentru a înlocui îndeplinirea obiectivelor și sarcinilor naționale prin discutarea și îndeplinirea sarcinilor funcționale ale tuturor ramurilor guvernamentale Atrăgând întreaga populație a țării (prin mass-media) în discuții nesfârșite despre probleme secundare ale autorităților înseși, se realizează o confuzie informațională completă în șefii populației și o neînțelegere a ceea ce trebuie să facă cu adevărat autoritățile Astfel, în stat se creează o atmosferă de înstrăinare completă a populației de la putere Criteriul "reducerii suferinței" majorității, dezvoltat și adoptat sub influența unor condiții naturale și istorice specifice de generații de oameni sovietici, este înlocuit cu un criteriu alternativ de alegere a unui mod de viață - "creșterea plăcerilor" de aleșii Se realizează haotizarea sistemului de suport: • în economia naţională - prin eliminarea componentei sale sociale obligatorii din economia naţională, precum şi crearea unui mediu în care dezvoltarea naţională este neprofitabilă, iar munca productivă cinstită să nu fie o chestiune de prestigiu; • sfera socială - inaccesibilitatea drepturilor fundamentale garantate constituţional pentru majoritatea absolută a populaţiei statului; • în sfera culturii - "occidentalizarea" violentă și schimbarea (ruperea) altarelor naționale, a valorilor și rădăcinilor istorice, distrugerea identității și introducerea forțată a valorilor prosperității individuale și cultivarea primatului lor asupra valorilor ​de existență colectivă; • în sfera politicii publice - estomparea completă a întregului spectru politic, imposibilitatea apariției de noi lideri politici străluciți, venalitatea și dependența evidentă (în sensul literal) față de autoritățile tuturor forțelor politice existente oficial în ţară, imposibilitatea organizării unui proces politic normal etc Haotizarea sistemului de corecție se realizează prin contopirea structurilor de putere cu crima organizată, politica penală a personalului de stat (promovarea mediocrității loiale), "depravarea ideologică" completă a agențiilor de securitate și de aplicare a legii înseși, precum și lipsa de voință a autorităților de a reforma structurile de putere ale statului și să stabilească un control capabil asupra acestora, dezorganizarea controlului asupra întreprinderilor, scăderea importanței sprijinului metrologic al producției Tehnologii de război informațional pe Internet și analiza lor Segmentul național rusesc al internetului a devenit arena luptei politice și socio-economice interne O proprietate specifică a internetului - capacitatea de a arunca rapid atât informații pozitive, cât și negative în spațiul informațional global (și în cazul înregistrării unui site în străinătate - transmiterea de informații fără a dezvălui sursele și părțile interesate) - este utilizată pe scară largă de toate forțele politice Să dăm câteva exemple La noiembrie , pe unul dintre serverele care oferă spațiu pentru crearea de pagini web gratuite, a apărut site-ul "Gheara care taie vălul secretului și minciunilor", care conține materiale de supraveghere și ascultare ale unor politicieni ruși de seamă, oameni de afaceri și jurnaliști Site-ul a durat în acces public aproximativ o zi În ianuarie , pe internet a apărut site-ul agenției anonime Dormer Window Scopul creatorilor, aparent, este dezvoltarea practică și desfășurarea operațiunilor speciale de informare pe Internet La februarie , site-ul Claw- a apărut pe Internet Site-ul a fost înregistrat în afara Rusiei "Claw- " conținea materiale despre elita politică a Teritoriului Krasnoyarsk, relația dintre politicienii federali și regionali Specialiștii ruși în războiul informațional în sfera politică stăpânesc cu îndrăzneală site-urile publice occidentale Noul site "Claw- " a introdus specific în procesul de confruntare a informațiilor Cert este că, spre deosebire de predecesorii săi, Claw- nu era localizat fizic în partea rusă a rețelei, ci pe serverul de internet din Provo (SUA), care nu este departe de Salt Lake City și, prin urmare, părțile interesate au avut șanse mici de a scoate Talon- din rețea Acesta este unul dintre principalele experimente pe care le-au făcut creatorii site-ului: "Claw" a durat în rețea puțin peste o zi, iar "Zvonuri" câteva zile; ambele site-uri au fost găzduite fizic pe servere rusești și au fost eliminate de administratorii lor Dar de data aceasta nu este ușor să eliminați site-ul Aceasta înseamnă că fanii utilizării Internetului pentru a desfășura operațiuni speciale de informare, după mai multe încercări și erori, par să fi înțeles cum să posteze în mod relativ sigur și, cel mai important, pentru o lungă perioadă de timp "zvonuri de încredere" din lumea politicii și afaceri online Internetul modern ar trebui înțeles nu ca o invenție tehnică, ci ca o comunitate consolidată de oameni care folosesc rețele de calculatoare cu intensitate diferită In aceea interesele și predilecțiile politice pot și trebuie inevitabil să se manifeste în comunitatea mondială Internetul a început și a intrat în viața adepților săi cu două tipuri inițiale de servicii de rețea, care pot fi atribuite unor tipuri de comunicare asincrone care nu necesită prezența simultană a oamenilor care comunică într-un singur mediu de comunicare Acesta este, în primul rând, schimbul de poștă electronică (e-mail) - de regulă, între doi interlocutori, deși sunt posibile distribuirea multiplă a unui mesaj și conectarea la micromediul de comunicare a unor (puțini) parteneri de comunicare Odată cu conexiunea în masă a partenerilor de comunicare, apare un alt serviciu de discuții asincrone, inclusiv buletine electronice, liste de corespondență, grupuri de știri (teleconferințe pe computer) sau conferințe eco și ulterior forumuri web Serviciul de comunicare sincronă (sau, așa cum este adesea numit, comunicare în timp real) include și mijloacele de comunicare într-o diadă, într-un grup mic sau comunicare în masă Indiferent de software-ul folosit ("computer pager"; ICQ, sau așa-numitul ICQ; IRC demodat; comunicare între participanții la jocuri de grup etc ), cel mai adesea se vorbește despre mediul chat-urilor sincrone, deși mesageria sincronă destul de acceptabilă prin e-mail chat-ul de e-mail nu este de obicei apelat Nu se limitează la corespondență, utilizatorii de internet stăpânesc transmiterea de imagini video interactive împreună cu mesajele vocale - de fapt, aceasta este o transmisie în bandă largă a informațiilor înregistrate de un microfon și o cameră video Acest serviciu este folosit până acum la o scară destul de limitată, mai ales de firme multinaționale pentru organizarea de întâlniri de producție Funcțiile Internetului nu se limitează la comunicare Una dintre cele mai masive funcții (cognitive) este plasarea materialelor informative pe site-uri web și pagini WWW, precum și căutarea de informații Plasarea surselor de informații sub forța unei varietăți de indivizi și (sau) organizații Este vorba despre persoane fizice care au achiziționat o pagină web, agenții de presă (împreună cu cele mai cunoscute și populare ziare, agenții și studiouri etc ), multe servicii de informare specializate cu un public "țintă" îngust, organisme și departamente oficiale, mișcări sociale și servicii, colecții publice de informații (biblioteci, arhive, edituri etc ) și depozite de rețea nou formate, cataloage etc Din ce în ce mai mult, matricele de informații includ, alături de materiale textuale, imagini și suporturi de informații audio (exemplele sunt reproduceri ale colecțiilor muzeale de vii scrieri, întâlniri muzicale, filme și filme TV, înregistrări video etc ) Aproape toate funcțiile și serviciile internetului sunt utilizate în scopuri politice Activitatea organizațiilor politice pe internet nu este cu mult diferită de o astfel de activitate în mass-media Cu toate acestea, s-a remarcat de mai multe ori că Internetul este foarte rapid "așezat" de către numeroase organizații marginale și mișcări sociale - mici și (sau) sărace și (sau) radicale etc Utilizarea internetului, în primul rând, contribuie la o informare parțială (exclusiv într-o lumină favorabilă) "incomodă" care nu poate fi făcută publicitară) informarea cu privire la sarcinile, scopurile și metodele de funcționare ale unor astfel de organizații și mișcări; în al doilea rând, internetul facilitează transmiterea rapidă a informațiilor secrete de către membrii unor astfel de comunități (ex instrucțiuni, instrucțiuni, avertismente etc ) Înțelegerea necesității de a lupta împotriva organizațiilor teroriste ascunse a determinat țările democratice să răspundă solicitărilor agențiilor de informații și să extindă posibilitățile legale de a intercepta astfel de mesaje, însă, din punct de vedere tehnic, sarcina de a intercepta și decripta mesajele suspecte nu a devenit mai ușoară Spre deosebire de majoritatea copiilor, delincvenții adulți fac acest lucru în mod destul de conștient Realitatea politică diverge de prea multe ori de standardele comportamentului etic Adesea, utilizatorii de internet - participanți la acțiuni - cred că un comportament neetic va fi ascuns în el În practică, se dovedește că, de fapt, anonimatul unor astfel de acțiuni este o mare iluzie Cert este că conectarea la Internet oriunde în lume este posibilă numai prin serverul companiei furnizor, care ține o evidență detaliată a cine, de la ce număr de telefon, când și la ce resurse de rețea accesate Cumva, este imposibil să evitați intrarea în așa-numitele fișiere logice Viabilitatea însuși fenomenului de utilizare a site-urilor de internet pentru a "încărca" dovezi compromițătoare este un fapt, iar aceasta în niciun caz tehnologia pură nu va exista atâta timp cât va exista o "ordonare" politică pentru aceasta Această metodă este relativ ieftină în comparație cu metodele tradiționale Utilizarea internetului în acest scop este posibilă și în timpul unei campanii electorale de orice nivel În ceea ce privește IPV per electorat, internetul este încă inferior media tradițională tipărită și electronică Cu toate acestea, avantajele pe care le deține fac posibil să fie considerată o componentă importantă a întregului set de instrumente ideologice și politice pentru transformarea conștiinței publice mondiale și ruse Cea mai periculoasă caracteristică a presei (și a Inter neta ca mass-media), cred mulți experți, este capacitatea lor de a prezenta informațiile în așa fel încât, în spatele obiectivității aparente a unei mase mari de oameni, să se formeze imaginea necesară (ordonată) a realității Puterea și eficacitatea IPV, desfășurată prin mass-media, în primul rând televiziune, se explică prin efectul psihologic puternic al participării la evenimente când o persoană este cufundată în ele "aici și acum" Acest efect deosebit, numit "efectul CNN", este considerat de mulți drept principala condiție pentru eficacitatea IPV prin intermediul mass-media Întrucât majoritatea posturilor și canalelor de televiziune, știrile și programele politice sunt prezentate pe internet, efectul CNN funcționează și pentru utilizatorii de internet În același timp, este imposibil să nu remarcăm un astfel de factor precum absența cenzurii oficiale (politice sau morale), libertatea de a difuza și de a primi informații pe internet În țările dezvoltate și în unele orașe mari din Rusia, există tendința de a prefera primirea de informații de pe Internet decât prin intermediul mass-media convenționale Acest lucru se explică printr-o reducere semnificativă a timpului de căutare a informațiilor În acest caz, utilizatorul însuși selectează informațiile de care are nevoie Mass-media obișnuită, pe de altă parte, are ca scop impunerea informației și gestionarea fluxului de informații în cea mai mare măsură posibilă pentru a atinge obiective politice sau de altă natură O modalitate complet legală de IPV asupra utilizatorilor de internet este distribuirea de materiale informaționale de propagandă folosind diverse tehnologii pentru a atrage atenția, organizarea de grupuri de interese virtuale și colectarea adreselor de e-mail pentru organizarea de corespondență în masă Există două modalități de a difuza informații pe internet: ) vizitarea de către utilizator a site-ului cu informațiile necesare; ) primirea de către utilizator a informațiilor la adresa sa de e-mail O creștere a traficului către un anumit site se realizează prin includerea adresei sale de Internet în diferite motoare de căutare populare O altă tehnologie de atragere a atenției utilizatorilor este plasarea de bannere pe diverse site-uri frecvent vizitate Crearea diferitelor grupuri de interese virtuale pe Internet servește și ca o modalitate legală de a împinge anumite idei Grupul virtual permanent rezultat indică prezența unor persoane capabile să perceapă ideile promovate, iar creșterea dimensiunii grupului arată eficiența IPV Colectarea de adrese de e-mail pe web creează, de asemenea, baza pentru țintirea unor grupuri mari de oameni, deoarece permite crearea unor baze de date mari de informații personale, ceea ce face posibilă identificarea grupurilor de influență Pe viitor, dacă va fi necesar, acestor grupuri pot fi trimise materiale de propagandă Tehnologiile pentru diseminarea rapidă a informațiilor prin rețele de calculatoare vor deveni mai importante, deoarece permit activități de informare direcționate fără controlul statului Puterea IPV pe Internet este multiplicată de multe ori de noile tehnologii multimedia și de realitate virtuală (VR) Aceste tehnologii susțin componenta emoțională a IPV, implicând utilizatorul în noi experiențe despre ceea ce a citit sau auzit A fi într-un spațiu virtual este în general nesigur pentru o persoană, deoarece imitarea realității este un fel de instrument psihologic de influențare a conștiinței și subconștientului unei persoane Pot apărea și noi forme de control social mediat, bazate pe manipularea deghizată a conștiinței, suprimarea blândă a psihicului Din punct de vedere practic, tehnologiile VR fac posibilă ca IPV să fie individual, axat pe manipularea conștiinței unei anumite persoane Adesea, acest lucru se întâmplă prin publicitate sofisticată a unei persoane sau a unei idei, însoțită de un fundal vizual atent Tehnologiile VR pot fi folosite pentru a crea orice situație reală prin combinarea elementelor video reale și a elementelor create prin grafică pe computer Cu toate acestea, există și metode specifice pe Internet care sunt unice pentru rețea: interferența ilegală a unor persoane neautorizate în funcționarea sistemelor informatice corporative, piratarea hackerilor cu furtul de parole și trimiterea de e-mailuri false, înlocuirea parțială sau completă a unui "inamic" site-ul web, de exemplu, prin furtul unui nume de domeniu, în urma căruia utilizatorul ajunge la o pagină falsă și multe altele Domenii și obiecte de protecție a activității informaționale la întreprinderi și organizații Domenii și sfere de asigurare a securității informațiilor întreprinderilor și organizațiilor Noile tehnologii informaționale, informatizarea globală și rețelele globale au creat noi surse de amenințări pentru întregul mediu informațional în care există și se dezvoltă societatea lui Ca rezultat, apariția de noi amenințări a făcut o mare parte din ceea ce era considerat anterior protejat solid, foarte vulnerabil Astăzi, obiectele importante ale țării intră în sfera armelor informaționale: economice, facilități de control, apărare etc Acesta este cel mai important motiv pentru care vechile metode și abordări pe care s-au bazat sistemele de securitate a informațiilor - protecția secretelor de stat, protecția canalelor de transmitere a informațiilor de interceptări, scurgeri, acces neautorizat - trec în fundal în noile condiții Principalul lucru este o descoperire tehnologică în protecția împotriva noilor tipuri de arme informatice - viruși informatici, bombe logice și mijloace de suprimare În plus, în țara noastră au avut loc transformări economice și sociale revoluționare Astăzi au apărut noi obiecte de protecție, cărora aproape nicio atenție nu a fost acordată în trecutul recent În primul rând, este vorba de drepturi De exemplu, dreptul cetățenilor la informare Opinia publică devine o forță reală, care în condițiile relațiilor sociale emergente necesită o atenție deosebită formării ei Amenințările au început să se răspândească în sfera spirituală Prin urmare, astăzi sferele educației, culturii și științei sunt expuse amenințărilor informaționale Problema principală este că tot timpul trebuie să găsești un echilibru între interesele statului și interesele societății în ansamblu Problema IB este natura globală a influențelor informaționale care s-a deschis în ultimii ani prin rețele precum Internetul Rezolvarea acesteia este deosebit de importantă în prezent, în legătură cu utilizarea în creștere a Internetului în organizații și întreprinderi Amenințările informaționale deschid calea pentru implementarea altor tipuri de amenințări și, în consecință, pentru protecția intereselor țărilor care încearcă să vă influențeze O caracteristică a interacțiunilor informaționale moderne este schimbarea relațiilor de proprietate în țara noastră În prezent, multe aspecte ale securității întreprinderilor și structurilor cu o formă de proprietate non-statală trebuie să fie decise de către întreprinderile înseși Printre aceste aspecte se pot distinge o gamă largă de probleme de asigurare a securității informațiilor În acest sens, sarcinile de maximizare a utilizării economice a resurselor proprii ale întreprinderii pentru o astfel de zonă neproductivă, care la prima vedere este zona securității informațiilor, sunt de o importanță deosebită Acum a devenit cunoscut faptul că utilizarea ilegală (neautorizată), furtul sau denaturarea afacerilor (interdicție informația kovskoy, comercială, statistică) duce inevitabil la consecințe economice grave Toate cele de mai sus fac necesară acordarea unei atenții deosebite amenințărilor de securitate reprezentate de sfera informațională și modalităților de contracarare a amenințărilor informaționale la buna funcționare a sistemelor organizaționale, organizaționale, tehnice și tehnice din organizații În același timp, problemele de asigurare a securității informațiilor la întreprindere trebuie rezolvate în toate etapele ciclului de viață al activităților acesteia, începând cu sondajul pre-proiect al unității Ca obiect, putem considera un complex de tehnologii informatice automatizate (AIT) ale unui obiect economic Un loc important în rândul măsurilor organizatorice pentru asigurarea securității prelucrării informațiilor îl ocupă atât protecția întreprinderii, cât și a complexului AIT pe care se află (teritoriul clădirii, sediul, depozitarea purtătorilor de informații) Facilități industriale și sociale pentru protejarea activităților informaționale și asigurarea securității informațiilor Obiectele IS includ ceea ce anterior era protejat într-un fel sau altul de viziunea "exterior" sau de interferențe: resurse de informații, indiferent de forma de stocare, care conțin date constituind secrete de stat și alte informații confidențiale; sisteme informatice de diverse clase și pentru diverse scopuri (biblioteci, arhive, baze de date și bănci de date, mijloace de teleacces, tehnologii informaționale, reglementări și proceduri de colectare, prelucrare, stocare și transmitere a informațiilor); infrastructura informațională și elementele acesteia; centre de procesare și analiză a informațiilor; canale de schimb de informații și telecomunicații; mecanisme de asigurare a funcționării sistemelor și rețelelor de telecomunicații, inclusiv sistemele în sine și mijloacele de protecție a proceselor de prelucrare a informațiilor Din cele de mai sus, se poate observa că majoritatea, dacă nu toate, sistemele informaționale care sunt obiecte ale securității informațiilor sunt în același timp sisteme organizaționale, organizaționale, tehnice sau tehnice Obiectul de protecție a proceselor de prelucrare a informațiilor este un sistem informatic sau un sistem automat de prelucrare a datelor (ASOD) care funcționează la o întreprindere În lucrările dedicate protejării proceselor de prelucrare a informațiilor în sisteme automate, până de curând se folosea termenul de "sistem automatizat de prelucrare a datelor", care este din ce în ce mai mult înlocuit cu termenul de "sistem informatic" Un sistem informatic este un complex de hardware și software conceput pentru colectarea, stocarea, procesarea, transmiterea și primirea automată a informațiilor Alături de termenul de "informații", în raport cu CS, este adesea folosit și termenul de "date" Se folosește un alt concept - "resurse informaționale" În conformitate cu Legea federală "Cu privire la informații, informatizare și protecție a informațiilor" din ianuarie nr -FZ, resursele informaționale sunt înțelese ca documente individuale și rețele individuale de documente în sistemele informaționale (biblioteci, arhive, fonduri, bănci de date) și alte sisteme informaționale) Conceptul de "sistem informatic" este foarte larg, acoperă următoarele sisteme: • Calculatoare de toate clasele și scopurile; • complexe și sisteme informatice; • rețele de calculatoare (locale, regionale și globale) Subiectul protecției în CS sunt procesele de prelucrare a informațiilor Baza materială pentru existența informațiilor în CS sunt dispozitivele (subsisteme) electronice și electromecanice, precum și mediile mașini Cu ajutorul dispozitivelor de intrare sau a sistemelor de transmisie a datelor (DTS), informațiile intră în CS În sistem, informațiile sunt stocate în dispozitive de memorie (memorie) de diferite niveluri, convertite (procesate) de procesoare (PC) și scoase din sistem folosind dispozitive de ieșire sau SPD Hârtia, benzile magnetice, discuri de diferite tipuri sunt folosite ca suporturi pentru mașini Anterior, cardurile perforate din hârtie și benzile perforate, tamburele magnetice și cardurile erau folosite ca suporturi de informații ale mașinii Cele mai multe tipuri de medii de stocare a mașinii sunt detașabile, de exemplu poate fi scos de pe dispozitive și utilizat (hârtie) sau stocat (benzi, discuri, hârtie) separat de dispozitive La rezolvarea problemei de protecție a proceselor de prelucrare a informațiilor în CS, este necesar să se țină cont și de factorul uman al sistemului Personalul de service și utilizatorii pot fi atât un obiect, cât și o sursă de influență neautorizată asupra informațiilor Conceptul de "obiect de protecție" sau "obiect" este adesea interpretat într-un sens mai larg Pentru CS concentrat sau elemente ale sistemelor distribuite, conceptul de "obiect" include nu numai resursele informaționale, hardware și software, personalul de întreținere, utilizatori, ci și spațiile, clădirile și chiar teritoriul adiacent clădirilor Unul dintre conceptele de bază ale teoriei securității informațiilor sunt conceptele de "securitatea proceselor de prelucrare a informațiilor în CS" și "CS securizat" Securitatea proceselor de prelucrare a informațiilor din CS este o astfel de stare a tuturor componentelor CS care asigură protecția proceselor de prelucrare a informațiilor de posibile amenințări la nivelul cerut Sistemele informatice în care se asigură securitatea proceselor de prelucrare a informațiilor se numesc sigure SI este realizat prin managementul nivelului adecvat al politicii SI Principalul document pe baza căruia se realizează politica IS este programul IS Acest document este elaborat și adoptat ca document oficial de guvernare de către cele mai înalte autorități ale statului, departamentului, organizației Documentul prezintă obiectivele politicii de securitate a informațiilor și principalele direcții de rezolvare a problemelor de securitate a informațiilor din CS Programele IS conțin, de asemenea, cerințe generale și principii pentru construirea sistemelor de securitate a informațiilor în CS Sistemul de protecție a proceselor de prelucrare a informațiilor din CS este înțeles ca un singur set de norme legale, măsuri organizatorice, mijloace tehnice, software și criptografice care asigură securitatea acestor procese în CS în conformitate cu politica de securitate adoptată Obiectul furnizării IS este, în primul rând, limbajul de interacțiune a subiecților sau, în CS, limbajul de programare În același timp, limbajul R poate fi reprezentat, după regulile logicii matematice, printr-o submulțime finită arbitrară R de cuvinte corecte de lungime finită din alfabetul A Putem presupune că orice informație este reprezentată ca un cuvânt în unele limbajul R și să presupunem că starea oricărui dispozitiv din sistemul de calcul este un cuvânt suficient de complet descris într-o limbă Acest lucru face posibilă identificarea cuvintelor și stărilor dispozitivelor și mecanismelor unui sistem informatic sau a unui sistem arbitrar de prelucrare a datelor electronice (ESOD) și analiza datelor în termenii unui anumit limbaj În prelucrarea informațiilor, vom evidenția în special descrierile transformărilor datelor O transformare a informațiilor mapează un cuvânt care descrie datele originale cu un alt cuvânt Descrierea transformării datelor este, de asemenea, un cuvânt Exemple de obiecte care descriu transformările de date sunt programele de calculator Orice transformare a informațiilor poate fi statică, adică stocată, sau dinamică, adică fi implicat în proces În primul caz, vorbim despre stocarea descrierii transformării într-un obiect (fișier) În acest caz, transformarea nu este diferită de alte date În al doilea caz, descrierea programului interacționează cu alte resurse ale sistemului de calcul - memorie, procesor, comunicații etc Apoi resursele de sistem alocate acțiunii de transformare pot fi numite domenii Cu toate acestea, pentru a pune în aplicare formarea unor date în altele, este necesar să se acorde acestei transformări statutul de control Atunci transformarea la care se transferă controlul se numește proces Aceasta implică faptul că transformarea se realizează într-un sistem în care este clar ce înseamnă transferul controlului Ca rezultat, un obiect care descrie transformarea, căruia i se alocă domeniul și i se transferă controlul, i e procesul se numește subiect Astfel, subiectul este o pereche (domeniu - proces) iar subiectul folosește informațiile conținute în obiectul O pentru a implementa transformarea, adică accesează R la obiectul O La nivel de limbă, există mai multe variante de acces R Varianta Accesul R al subiectului la obiectul O pentru citire va fi notat prin r date din obiectul O Cu acest acces, datele sunt citite în obiectul O și utilizate ca informații în subiectul Opțiunea Accesați R al subiectului S la obiectul O pentru a scrie (w) date în obiectul O Cu acest acces, unele date ale procesului sunt scrise pe obiectul O Aici este posibilă ștergerea informațiilor anterioare Opțiunea Accesați R al subiectului la obiectul O pentru a activa procesul înregistrat în O ca date (exe) Cu acest acces, se formează un domeniu pentru transformarea descrisă în O, iar controlul este transferat la programul corespunzător Setul posibil de accesări în sistem va fi notat prin setul de obiecte din sistemul de prelucrare a datelor - Op, iar setul de subiecți din acest sistem - Sj Este clar că fiecare subiect este un obiect al limbajului (care își poate schimba el însuși starea în faza activă) Uneori, astfel încât să nu existe notații diferite asociate unei transformări, descrierea transformării stocate în memorie este numită și subiect, dar nu este activată Atunci activarea unui astfel de subiect înseamnă o pereche (domeniu-proces) Aplicând teoria grafurilor, putem descrie aceste opțiuni pentru accesarea obiectului O, într-un mod general: L " r(w,exe) • , -J ->Sj -> ,, i = , , m, j-\, , n Luând în considerare problemele securității informațiilor, experții acceptă axioma, care stă la baza standardului american de securitate ("Orange Book") Poate fi formulat astfel: "Toate problemele de securitate ale proceselor de prelucrare a informațiilor sunt descrise prin accesul subiecților la obiecte" Dacă includem ipotetic procese precum incendiul, inundația, distrugerea fizică și confiscarea, atunci această axiomă acoperă aproape toate modalitățile cunoscute de încălcare a IS Apoi, pentru examinarea în continuare a problemelor de securitate și protecție a proceselor de prelucrare a informațiilor, este suficient să se ia în considerare un set de obiecte și secvențe de accesări Fie timpul discret, Ot să fie mulțimea de obiecte la timpul i, St mulțimea de subiecte la timpul t Pe mulţimea obiectelor O, ca şi pe vârfuri, definim un grafic de acces direcţionat Gt astfel: arcul - £ -> cu eticheta p c R aparţine lui Gt dacă şi numai dacă în momentul t subiectul S are un set de accese p la obiectul O Conform axiomei, din punctul de vedere al protejării proceselor de prelucrare a informaţiei, în procesul de funcţionare a sistemului ne interesează doar setul de grafice de acces {( ,}^ Notăm cu = { } mulţimea de posibile grafice de acces Atunci poate fi considerat ca spațiul de fază al sistemului, iar o traiectorie în spațiul de fază corespunde funcționării unui sistem informatic În acești termeni, este convenabil să ne imaginăm problema securității informațiilor în cele ce urmează forma generala: posibile traiectorii sunt definite in spatiul fazelor , iar unele submultimi N de traiectorii nefavorabile sau sectiuni ale unor astfel de traiectorii pe care am dori sa le evitam sunt identificate in spatiul fazelor Sarcina protejarii proceselor de procesare a informatiilor este de a asigura ca orice traiectorie reala a procesului de calcul în spațiul de fază nu se încadrează în mulțimea N De regulă, în orice sistem de calcul anume, este posibil să se doteze componentele modelului , și N cu sens real fie traiectorii care trec printr-un un set dat de stări și Ce poate fi controlat de serviciul de protecție a procesării informațiilor astfel încât traiectorii procesului de calcul să nu meargă la N În practică, un astfel de control este posibil doar prin restricționarea accesului la un moment dat Desigur, aceste restricții pot depinde de întreaga istorie a procesului Cu toate acestea, în orice caz, serviciul de protecție este disponibil doar acțiunii locale Principala dificultate în protejarea prelucrării informațiilor constă în faptul că, având capacitatea de a folosi un set de restricții de acces local în fiecare moment de timp, trebuie să rezolvăm problema globală a împiedicării oricărei posibile traiectorii de a pătrunde în mulțimea nefavorabilă N Caz, traiectoriile setului V nu sunt neapărat determinate de restricții de acces specifice subiecților la obiecte specifice Dacă în diferite momente ale procesului de calcul subiectul a obţinut accesul la obiectele Os şi O , atunci s-a produs efectiv accesul interzis la obiectul O , întrucât din cunoaşterea conţinutului obiectelor O şi O se poate deduce informaţiile interzise conţinute în obiectul O Luați în considerare un exemplu de utilizare a graficelor de acces Gj, Lăsați sistemul să aibă un grup de utilizatori Uj, un proces de citire a unui fișier pe ecran și un set de fișiere O, În fiecare moment, un utilizator lucrează, apoi sistemul se oprește și un alt utilizator îl pornește din nou Sunt posibile următoarele grafice de acces: Uj~>On / = , , m, j = l, , , n Mulțimea unor astfel de grafice este Traiectoriile sunt considerate nefavorabile dacă conțin, pentru unele i = , , m, stările obiectului: -Z-+S-!- u -Z-+S-r-^> Oh Uj r-eO, Astfel, apare o situație nefavorabilă când toți utilizatorii pot citi un obiect Mecanismul de protecție ar trebui să construiască restricții pentru următorul acces pe baza setului de obiecte pe care alți utilizatori le-au citit deja În acest caz, evident, se poate dovedi că securitatea informației este asigurată într-o zonă limitată Problema se rezolvă cel mai simplu în sistemul descris, când orice traiectorie conține un grafic al formei În acest caz, se dovedește că sistemul va fi protejat prin restricționarea accesului de citire al utilizatorului U{ la obiect Tehnologii pentru asigurarea securității prelucrării informațiilor în gestionarea obiectelor informaționale Abordări moderne ale tehnologiilor și metodelor de asigurare a securității informațiilor în întreprinderi Statul în ochii societății reprezintă (sau ar trebui să-și reprezinte) interesele și acționează ca un arbitru între principalele grupuri de interese În același timp, siguranța personală și publică ness este practic asigurat de stat De asemenea, ar trebui să asigure respectarea drepturilor legale ale cetățenilor și organizațiilor la informație, să prevină restricționarea ilegală a accesului la documente și informații care conțin informații importante pentru cetățeni și organizații și alte acțiuni care ar trebui considerate ca o amenințare la adresa securității informațiilor Tehnologiile informaționale automatizate moderne utilizate în managementul diverselor domenii de activitate ale întreprinderilor și organizațiilor se bazează pe utilizarea CS într-o gamă largă de scopuri - de la local la global, dar toate, în ceea ce privește asigurarea interacțiunilor informaționale între diverse obiecte și subiecții, au următoarele caracteristici principale ale securității informațiilor: • disponibilitatea informațiilor de diferite grade de confidențialitate; • nevoia de protecție criptografică a proceselor de utilizare a informațiilor de diferite grade de confidențialitate în transmiterea datelor; • ierarhia competențelor subiecților accesului și programelor la stația de lucru (AWP), serverele de fișiere, canalele de comunicare și informațiile sistemului; necesitatea de a schimba rapid aceste puteri; • organizarea procesării informațiilor în modul interactiv, modul de partajare a timpului între utilizatori și modul în timp real; • Gestionarea obligatorie a fluxurilor de informații atât în rețelele locale, cât și atunci când acestea sunt transmise pe canale de comunicații pe distanțe mari; • necesitatea înregistrării și înregistrării încercărilor de acces neautorizat, evenimentelor din sistem și documentelor tipărite; • menținerea obligatorie a integrității software-ului și a informațiilor din AIT; • disponibilitatea mijloacelor de refacere a sistemului de protecție a proceselor de prelucrare a informațiilor; • contabilizarea obligatorie a suporturilor magnetice; • disponibilitatea protecției fizice a echipamentelor informatice și a suporturilor magnetice Măsurile și procedurile organizaționale utilizate pentru rezolvarea problemei securității procesării informațiilor sunt rezolvate în toate etapele de proiectare și în timpul funcționării AIT O importanță semnificativă în proiectare este acordată studiului înainte de proiect al obiectului În această etapă: • se stabilește prezența informațiilor secrete (confidențiale) în AIT dezvoltat, se evaluează nivelul de confidențialitate și volumele; • se determină modurile de prelucrare a informaţiei (dialog, teleprocesare şi modul în timp real), componenţa complexului de mijloace tehnice, software general de sistem etc ; • analizează posibilitatea utilizării mijloacelor certificate de protecție a proceselor de prelucrare a informațiilor disponibile pe piață; • se determină gradul de participare a personalului, serviciilor funcționale, specialiștilor și lucrătorilor auxiliari ai obiectului de automatizare la prelucrarea informațiilor, natura interacțiunii acestora între ele și cu serviciul de securitate; • Sunt determinate măsuri pentru asigurarea regimului de secretizare în stadiul de dezvoltare Printre măsurile organizatorice pentru asigurarea securității prelucrării informațiilor, un loc important îl ocupă protecția unității pe care se află AIT protejat (teritoriul clădirii, sediul, depozitarea purtătorilor de informații) În același timp, sunt instalate posturi de securitate adecvate, mijloace tehnice care împiedică sau împiedică în mod semnificativ furtul de echipamente informatice, purtători de informații și, de asemenea, exclud accesul neautorizat la AIT și liniile de comunicație Funcționarea sistemului de protecție a prelucrării informațiilor împotriva accesului neautorizat ca complex de soluții software și hardware și organizaționale (procedurale) prevede: • contabilitate, stocare și emitere de purtători de informații, parole, chei pentru utilizatori; • întreținerea informațiilor de serviciu (generarea parolelor, cheilor, menținerea regulilor de control acces); • Controlul operațional asupra funcționării sistemelor de protecție a informațiilor clasificate; • controlul conformității mediului software la nivel de sistem cu standardul; • acceptarea noului software inclus în AIT; • controlul asupra cursului procesului tehnologic de prelucrare a informațiilor financiare și de credit prin înregistrarea analizei acțiunilor utilizatorilor; • semnalizarea evenimentelor periculoase etc Trebuie remarcat faptul că, fără suport organizațional adecvat al instrumentelor software și hardware pentru protejarea prelucrării informațiilor împotriva accesului neautorizat și implementarea corectă a procedurilor prevăzute de documentația proiectului, nu este posibilă rezolvarea adecvată a problemei asigurării securității prelucrării informațiilor , indiferent cât de perfecte sunt aceste instrumente software și hardware Sistemele de protecție a proceselor de prelucrare a informațiilor în AIT se bazează pe următoarele principii: • o abordare integrată a construirii unui sistem de protecție cu rolul principal al măsurilor organizatorice, adică îmbinarea optimă între software și hardware și măsuri organizaționale de protecție și confirmată de practica creării sistemelor de protecție interne și externe; • separarea și minimizarea competențelor de acces la informațiile prelucrate și la procedurile de prelucrare, adică asigurarea utilizatorilor cu un minim de puteri strict definite suficiente pentru îndeplinirea cu succes a atribuțiilor lor oficiale, în ceea ce privește prelucrarea automatizată a informațiilor confidențiale aflate la dispoziție; • completitudinea controlului și înregistrării încercărilor de acces neautorizat, adică necesitatea stabilirii cu exactitate a identității fiecărui utilizator și înregistrării acțiunilor acestuia în vederea unei eventuale investigații, precum și imposibilitatea efectuării oricărei operațiuni de prelucrare a informațiilor în AIT fără înregistrarea prealabilă a acestuia; • asigurarea fiabilității sistemului de protecție, adică imposibilitatea reducerii nivelului de fiabilitate în cazul defecțiunilor, defecțiunilor, acțiunilor deliberate ale intrusului sau erorilor neintenționate ale utilizatorilor și personalului de întreținere a sistemului; • Asigurarea controlului asupra funcționării sistemului de protecție, ex crearea de mijloace și metode de monitorizare a performanței mecanismelor de protecție; • "transparența" sistemului de protecție a proceselor de prelucrare a informațiilor pentru utilizatorii de software general, aplicat și AIT; • fezabilitatea economică a utilizării unui sistem de protecție, exprimată în faptul că costul dezvoltării și exploatării sistemelor de protecție a procesării informațiilor ar trebui să fie mai mic decât costul eventualelor daune cauzate unui obiect în cazul dezvoltării și exploatării AIT fără sistem de protecție Toate metodele și mijloacele de asigurare a securității proceselor de prelucrare a informațiilor sunt prezentate în fig Ele pot fi formale sau informale Să luăm în considerare conținutul principal al mijloacelor și metodelor prezentate pentru protejarea proceselor de prelucrare a informațiilor, care stau la baza mecanismelor de protecție Obstacol - o metodă de blocare fizică a căii unui atacator către informații protejate (până la echipamente, medii de stocare etc ) Controlul accesului este o metodă de protejare a proceselor de prelucrare a informațiilor prin reglementarea utilizării tuturor resurselor unui sistem informatic informatic (elementele bazelor de date, DAR A Orez Metode (a) și mijloace (b) de asigurare a securității proceselor de prelucrare a informațiilor software și hardware) Controlul accesului include următoarele caracteristici de securitate: • identificarea utilizatorilor, personalului și resurselor sistemului (alocarea unui identificator personal fiecărui obiect); • identificarea (autentificarea) unui obiect sau subiect prin identificatorul care le este prezentat; • verificarea autoritatii (verificarea conformitatii zilei saptamanii, orei zilei, resurselor si procedurilor solicitate cu reglementarile stabilite); • permisiunea si crearea conditiilor de munca in cadrul reglementarilor stabilite; • înregistrarea (înregistrarea) apelurilor către resurse protejate; • răspuns (alarma, oprire, întârziere de lucru, cerere refuzată) în cazul încercărilor de acțiuni neautorizate Mascarea este o metodă de protejare a proceselor de procesare a informațiilor prin închiderea criptografică a acesteia Această metodă de protecție este utilizată pe scară largă în străinătate atât în procesarea, cât și în stocarea informațiilor, inclusiv pe dischete Atunci când transmiteți informații pe canale de comunicare la distanță lungă, această metodă este singura fiabilă Reglementarea este o metodă de protejare a proceselor de prelucrare a informațiilor care creează astfel de condiții pentru prelucrarea, stocarea și transmiterea automată a proceselor de prelucrare a informațiilor protejate, în care posibilitatea de acces neautorizat la aceasta ar fi minimizată Coerciția este o metodă de protecție a proceselor de prelucrare a informațiilor în care utilizatorii și personalul sistemului sunt obligați să respecte regulile de prelucrare, transfer și utilizare a proceselor de prelucrare a informațiilor protejate sub amenințarea răspunderii materiale, administrative sau penale Motivația este o metodă de protejare a proceselor de prelucrare a informațiilor care încurajează utilizatorul și personalul sistemului să nu distrugă ordinea stabilită prin respectarea standardelor morale și etice stabilite (atât reglementate, cât și nescrise) Metodele avute în vedere de asigurare a securității proceselor de prelucrare a informațiilor sunt implementate în practică prin utilizarea diferitelor mijloace de protecție, precum tehnică, software, organizațională, legislativă, morală și etică Mijloacele de asigurare a securității proceselor de prelucrare a informațiilor utilizate pentru crearea unui mecanism de protecție sunt împărțite în formale (îndeplinesc funcții de protecție conform unei proceduri prestabilite fără participarea umană directă) și informale (determinate de activitatea umană intenționată sau reglementează această activitate) Remediile formale includ: • tehnice, care sunt implementate sub formă de dispozitive electrice, electromecanice și electronice Mijloacele tehnice de protecție, la rândul lor, sunt împărțite în fizice și hardware Mijloacele fizice de protecție sunt implementate sub formă de dispozitive și sisteme autonome (de exemplu, încuietori pe ușile în spatele cărora se află echipamentul, bare pe ferestre, echipamente electronice-mecanice pentru alarme de securitate În hardware, se obișnuiește să se înțeleagă dispozitivele care sunt integrat direct în tehnologia informatică sau dispozitive care interfață cu echipamente similare printr-o interfață standard; • software, care este un software special conceput pentru a îndeplini funcțiile de protecție a proceselor de prelucrare a informațiilor Remediile informale includ următoarele: • organizatorice, care sunt măsuri organizatorice, tehnice și organizatorice și juridice efectuate în procesul de creare și exploatare a tehnologiei informatice, a echipamentelor de telecomunicații pentru a asigura protecția prelucrării informațiilor Măsurile organizatorice acoperă toate elementele structurale ale echipamentelor în toate etapele ciclului lor de viață (construcția spațiilor, proiectarea unui sistem informatic informatic pentru bancar, instalarea și punerea în funcțiune a echipamentelor, testare, exploatare); • legislative, care sunt determinate de actele legislative ale țării care reglementează regulile de utilizare, prelucrare și transmitere a informațiilor cu acces limitat și stabilesc răspunderea pentru încălcarea acestor reguli; • morale și etice, care sunt implementate sub forma de tot felul de norme care s-au dezvoltat în mod tradițional sau se formează ca tehnologie informatică și mijloace de comunicare răspândite în societate Aceste norme nu sunt în cea mai mare parte obligatorii ca măsuri legislative, cu toate acestea, nerespectarea lor duce de obicei la pierderea autorității și a prestigiului unei persoane Cel mai ilustrativ exemplu de astfel de norme este Codul de conduită profesională pentru membrii Asociațiilor utilizatorilor de computere din SUA Pentru implementarea măsurilor de securitate sunt utilizate diverse mecanisme de criptare (criptografie) Criptografia este știința de a asigura secretul sau autenticitatea (autenticitatea) mesajelor transmise Esența metodelor criptografice este următoarea Un mesaj care este gata pentru a fi transmis, fie că este vorba de date, vorbire sau o imagine grafică a unui anumit document, este de obicei numit text clar sau text neprotejat (mesaj) În cursul transmiterii pe canale de comunicație nesigure, un astfel de mesaj poate fi ușor interceptat sau urmărit de un interceptator prin acțiunile sale intenționate sau neintenționate Pentru a preveni accesul neautorizat la acest mesaj, acesta este criptat și astfel convertit într-un text cifrat sau privat Când utilizatorul autorizat primește mesajul, acesta îl decriptează sau îl descifrează inversând criptograma, rezultând textul simplu original Metoda de transformare într-un sistem criptografic corespunde utilizării unui algoritm special Funcționarea unui astfel de algoritm este declanșată de un număr unic (sau secvență de biți), denumită în mod obișnuit cheie de criptare Fiecare cheie utilizată poate produce mesaje criptate diferite, definite doar de acea cheie Pentru majoritatea sistemelor, un circuit generator de chei închis poate fie un set de instrucțiuni, comenzi sau o parte (nod) de hardware (hardware), fie un program de calculator (software), sau toate acestea împreună, dar în orice caz, procesul de criptare/decriptare este determinat în mod unic de cheia specială aleasă Prin urmare, pentru ca un schimb de mesaje criptate să aibă succes, atât expeditorul, cât și destinatarul trebuie să cunoască setarea corectă a cheii și să o păstreze secretă Prin urmare, puterea oricărui sistem de comunicare închis este determinată de gradul de secret al cheii utilizate în acesta Cu toate acestea, această cheie trebuie să fie cunoscută de alți utilizatori ai rețelei, astfel încât aceștia să poată schimba liber mesaje criptate În acest sens, sistemele criptografice ajută și la rezolvarea problemei de autentificare (autentificare) a informațiilor primite, întrucât un interceptator cu urechea care interceptează pasiv un mesaj se va ocupa doar de text cifrat În același timp, adevăratul destinatar, după ce a acceptat aceste mesaje, închise cu o cheie cunoscută de el și expeditor, va fi protejat în mod fiabil de posibile dezinformare Criptarea poate fi simetrică sau asimetrică Criptarea simetrică se bazează pe utilizarea aceleiași chei secrete atât pentru criptare, cât și pentru decriptare Criptarea asimetrică se caracterizează prin faptul că o cheie, care este disponibilă public, este utilizată pentru criptare, iar alta, care este secretă, este folosită pentru decriptare; totuși, cunoașterea cheii publice nu permite determinarea cheii secrete Alături de criptare, sunt utilizate și alte mecanisme de securitate: • semnătură digitală (electronică); • controlul accesului; • asigurarea integrității datelor; • furnizarea de autentificare; • stabilirea traficului; • managementul rutare; • arbitraj sau examinare Mecanismele de semnătură digitală se bazează pe algoritmi de criptare asimetrică și includ două proceduri: generarea semnăturii de către expeditor și identificarea (verificarea) acesteia de către destinatar Prima procedură criptează blocul de date sau îl completează cu o sumă de control criptografică, în ambele cazuri se utilizează cheia secretă a expeditorului A doua procedură se bazează pe utilizarea unei chei publice, a cărei cunoaștere este suficientă pentru a identifica expeditorul Mecanismele de control al accesului verifică autoritatea obiectelor AIT (programe și utilizatori) de a accesa resursele rețelei Atunci când o resursă este accesată printr-o conexiune, controlul este efectuat atât la punctul de inițiere și la punctele intermediare, cât și la punctul final Mecanismele de integritate a datelor se aplică atât unui singur bloc, cât și unui flux de date Integritatea blocului este o condiție necesară, dar nu suficientă pentru integritatea fluxului Integritatea blocului este asigurată prin executarea procedurilor de criptare și decriptare interconectate de către expeditor și destinatar Expeditorul completează blocul transmis cu o sumă criptografică, iar destinatarul o compară cu valoarea criptografică corespunzătoare blocului primit O nepotrivire indică o distorsiune a informațiilor din bloc Cu toate acestea, mecanismul descris nu permite dezvăluirea înlocuirii blocului în ansamblu Prin urmare, este necesar să se controleze integritatea fluxului, care este implementat prin criptare folosind chei care se modifică în funcție de blocurile anterioare Autentificarea poate fi unidirecțională și reciprocă În primul caz, una dintre entitățile care interacționează o autentifică pe cealaltă, în timp ce în al doilea caz, verificarea este reciprocă Mecanismele de stabilire a traficului, denumite și mecanisme de completare a textului, sunt utilizate pentru a implementa criptarea traficului Acestea se bazează pe generarea de blocuri fictive de către obiectele AIT, criptarea acestora și organizarea transmisiei pe canalele de rețea Aceasta neutralizează posibilitatea de a obţine informaţii prin monitorizarea caracteristicilor externe ale fluxurilor care circulă prin canalele de comunicare Mecanismele de control al rutei oferă o alegere a rutelor pentru circulația informațiilor printr-o rețea de comunicații, astfel încât să excludă transferul de informații secrete prin canale compromise (nesigure) fizic nesigure Mecanismele de arbitraj sau de mărturie asigură validarea caracteristicilor datelor transferate între entitățile AIT de către o terță parte (un arbitru) Pentru a face acest lucru, toate informațiile trimise sau primite de obiecte trec și prin arbitru, ceea ce îi permite să confirme ulterior caracteristicile menționate AIT folosește o combinație de mai multe mecanisme pentru a organiza securitatea datelor Metodele și mijloacele tehnologiilor de protecție împotriva amenințărilor IS, prezentate în fig sunt împărțite în trei grupe: prevenire, parare și neutralizare Orez Clasificarea generală a metodelor și mijloacelor tehnologiilor de protecție a amenințărilor de securitate a informațiilor Grupul de tehnologii de prevenire a amenințărilor IS include tehnologii care previn și previn planificarea intruziunilor, organizarea și implementarea protecției obiectelor în stadiul inițial al unui atac Grupul de tehnologii pentru oprirea amenințărilor IS include metode și tehnici care previn sau limitează impactul asupra unui obiect protejat Grupul de tehnologii de neutralizare a amenințărilor IS include mijloace de eliminare și eliminare a amenințărilor, precum și neutralizare fie parțială, fie completă în caz de pătrundere sau sabotare cu un obiect Tehnologii pentru prevenirea amenințărilor la adresa securității informațiilor întreprinderilor Metode organizatorice și legale de protecție a proceselor de prelucrare a informațiilor în CS Ele sunt în fruntea tehnologiilor de prevenire a amenințărilor de securitate cibernetică Trebuie avut în vedere faptul că odată cu dezvoltarea intensivă a instalațiilor de calcul și a sistemelor de transmitere a informațiilor, problema asigurării securității acesteia devine din ce în ce mai urgentă Măsurile de securitate au ca scop prevenirea primirii neautorizate a informațiilor, distrugerii fizice sau modificării proceselor de prelucrare a informațiilor protejate Astăzi, apare o nouă tehnologie modernă - tehnologia de protecție a proceselor de prelucrare a informațiilor în sistemele informatice informatice și rețelele de transmisie a datelor Clasificarea metodelor și mijloacelor legale și organizaționale de prevenire a amenințărilor IS este prezentată în fig Legile și reglementările se execută numai dacă sunt susținute de activitățile organizatorice ale structurilor relevante create în stat, departamente, instituții și organizații Atunci când se ia în considerare securitatea prelucrării informațiilor, astfel de activități se referă la metode organizaționale de protejare a proceselor de prelucrare a informațiilor Metodele organizaționale pentru protejarea proceselor de prelucrare a informațiilor includ măsuri, activități și acțiuni pe care oficialii trebuie să le efectueze în procesul de creare și operare a unui CS pentru a asigura un anumit nivel de securitate a prelucrării informațiilor La nivel organizatoric sunt rezolvate urmatoarele sarcini de asigurare a securitatii informatiilor in CS: • organizarea lucrărilor de dezvoltare a unui sistem de protecție a proceselor de prelucrare a informațiilor; • restricţionarea accesului la obiect şi la resursele CS; Orez Clasificarea metodelor și mijloacelor legale și organizaționale de prevenire a amenințărilor IS • diferențierea accesului la resursele CS; • planificarea evenimentului; • elaborarea documentaţiei; • educarea și instruirea personalului de serviciu și a utilizatorilor; • certificarea mijloacelor de protecție a prelucrării informațiilor; • licențierea activităților de protecție a proceselor de prelucrare a informațiilor; • atestarea obiectelor de protecţie; • îmbunătățirea sistemului de protecție a proceselor de prelucrare a informațiilor; • evaluarea eficacității funcționării sistemului de protecție; • controlul asupra implementării regulilor de lucru stabilite în CS Statul trebuie să asigure protecția proceselor de prelucrare a informațiilor din țară, atât la nivel național, cât și la nivelul organizațiilor și cetățenilor individuali Pentru a rezolva această problemă, statul trebuie: ) elaborarea unei politici de stat de securitate informatică; ) stabilesc în mod legal statutul juridic al sistemelor informatice, informaționale, sistemelor de protecție a proceselor de prelucrare a informațiilor, deținătorilor și utilizatorilor de informații etc ; ) crearea unei structuri ierarhice a organismelor guvernamentale care elaborează și implementează politica de securitate IT; ) crearea unui sistem de standardizare, licențiere și certificare în domeniul protecției proceselor de prelucrare a informațiilor; ) asigurarea dezvoltării prioritare a sistemelor informatice securizate autohtone; ) creșterea nivelului de educație al cetățenilor în domeniul IT, insuflarea lor patriotism și vigilență; ) să stabilească răspunderea cetăţenilor pentru încălcările legislaţiei în domeniul IT Politica statului Federației Ruse în domeniul securității IT ar trebui să fie unificată Pe baza acestei poziții în Federația Rusă, problemele IS sunt reflectate în "Conceptul securității naționale a Federației Ruse", aprobat prin Decretul președintelui Federației Ruse din decembrie nr , iar apoi în Doctrina IS a Federației Ruse "Conceptul de securitate națională a Federației Ruse" definește cele mai importante sarcini ale statului în domeniul securității informațiilor (vezi capitolul ) Eforturile statului ar trebui să vizeze insuflarea responsabilității cetățenilor pentru aplicarea strictă a normelor legale în domeniul securității informațiilor Este necesar să folosim toate mijloacele disponibile pentru a crea patriotism în rândul cetățenilor, un sentiment de mândrie pentru apartenența la o țară, o echipă O sarcină importantă a statului este și creșterea nivelului de educație al cetățenilor în domeniul IT Un rol important în această activitate revine sistemului educațional al statului, autorităților guvernamentale și mass-media Metodele legale de protejare a proceselor de prelucrare a informațiilor se bazează pe cadrul legislativ de furnizare a informațiilor, care este determinat de schimbările socio-economice din societate care au avut loc în ultimii ani Aceștia au cerut reglementarea legislativă a relațiilor apărute în domeniul IT În acest sens, a fost adoptată Legea federală "Cu privire la informații, informatizare și protecție a informațiilor" din ianuarie nr -FZ Un alt document juridic important care reglementează problemele de protecție a informațiilor în Curtea Constituțională este Legea Federației Ruse "Cu privire la secretele de stat" din iulie nr - Relațiile legate de crearea de programe și baze de date sunt guvernate de Legile Federației Ruse "Cu privire la protecția juridică a programelor pentru calculatoare și baze de date electronice" din septembrie nr - și "Cu privire la drepturile de autor și drepturile conexe" din data de septembrie iulie Nr - O problemă juridică foarte importantă este stabilirea statutului juridic al CS și, mai ales, a statutului informațiilor obținute cu ajutorul CS Starea informațiilor, sau eligibilitatea acesteia, servește drept bază pentru efectuarea (neefectuarea) anumitor acțiuni De exemplu, în unele ACS, oficialul relevant are dreptul legal de a lua decizii numai pe baza informațiilor primite de la ACS În alte sisteme de control automatizate, pentru a lua o decizie, este necesară obținerea de informații de confirmare prin alte canale În același ACS Orez Structura organelor de stat pentru asigurarea securității informațiilor în Federația Rusă decizia poate fi luată atât cu obținerea de informații de confirmare, cât și fără aceasta Un exemplu este organizarea transferului de bani folosind ACS Până la o anumită sumă, transferul se efectuează automat la primirea cererii corespunzătoare Pentru a transfera o sumă mare, sunt efectuate proceduri suplimentare pentru a verifica eligibilitatea unei astfel de operațiuni Pentru aceasta, pot fi necesare informații suplimentare, inclusiv despre un sistem de rezervă, iar decizia finală privind transferul de bani poate fi luată de un funcționar Statutul juridic al informației se stabilește ținând cont de valoarea (importanța) acesteia și de gradul de fiabilitate pe care îl poate oferi un sistem informatic Alte acte legislative (legile Federației Ruse, decretele și ordinele Președintelui Federației Ruse, precum și documentele organizatorice, metodologice și de guvernare ale Comisiei Tehnice de Stat din subordinea Președintelui Federației Ruse) indică implementarea organizatorică și legală a securitatea informațiilor prin protecția completă a activităților informaționale din Rusia Organizarea unei astfel de protecție la nivel de stat se realizează în conformitate cu structura autorităților de stat pentru asigurarea securității informațiilor în Federația Rusă (Fig ) (a se vedea capitolul ) În ministere și departamente se creează structuri ierarhice pentru asigurarea securității informațiilor care, de regulă, coincid cu structura organizatorică a ministerului (departamentului) Ele pot fi numite diferit, dar funcțiile dvs umple cele asemanatoare Una dintre sarcinile principale ale unor astfel de structuri este educarea patriotismului și a vigilenței, creșterea nivelului de educație și responsabilitate a cetățenilor în domeniul IT Metode de prevenire a amenințărilor cu modificări neautorizate ale infrastructurii CS Acestea se referă la procesele de deformare a construcției structurale a sistemului Aici, structurile algoritmice, software și tehnice ale CS în etapele dezvoltării și funcționării acestuia pot fi supuse unor modificări neautorizate În faza de exploatare, este necesar să se evidențieze lucrările de modernizare a CS, care prezintă un pericol sporit pentru securitatea informațiilor O caracteristică de protecție împotriva modificărilor neautorizate în structurile (NIS) ale CS este universalitatea metodelor care, împreună cu influențele intenționate, fac posibilă identificarea și blocarea erorilor neintenționate ale dezvoltatorilor și personalului de întreținere, precum și defecțiunile și defecțiunile hardware și software De obicei, NIS CS, efectuate în etapa de dezvoltare și în timpul modernizării sistemului, se numesc marcaje Pentru a preveni amenințările din această clasă, diferite sarcini sunt rezolvate în diferite etape ale ciclului de viață CS Clasificarea metodelor și mijloacelor de prevenire a amenințărilor cu modificări neautorizate în infrastructurile CS este prezentată în fig Orez Clasificarea metodelor și mijloacelor de prevenire a amenințărilor cu modificări neautorizate ale infrastructurilor CS z ^* Orez Structura funcțională a cutiei negre ca model CS În etapa de dezvoltare și în timpul modernizării CS, sarcina principală este eliminarea erorilor și posibilitatea introducerii marcajelor În faza de exploatare sunt detectate marcaje și erori, iar integritatea și imuabilitatea structurilor sunt asigurate Tehnologiile de utilizare și suportul hardware sunt descrise în Cap Se impun cerințe speciale asupra calificărilor specialiștilor implicați în elaborarea specificațiilor tehnice și a algoritmilor care controlează procesul de dezvoltare și sunt implicați în certificarea produselor finite Reprezentarea oricărui sistem sub forma unei structuri de bloc ierarhice face posibilă reprezentarea oricărui bloc sub forma unei casete negre (Fig ) Blocul transformă vectorul X al acțiunilor de intrare în prezența vectorului condițiilor externe / și ținând cont de starea blocului Yt Transformarea funcțională F (x, z, Y,) transferă blocul în starea caracterizată prin starea Yr + l, unde x e X, z e Z, y e Y Structura de bloc a sistemului face posibilă simplificarea controlului funcționării sistemului, utilizarea blocurilor standard depanate și testate, permite dezvoltarea paralelă a tuturor blocurilor și duplicarea dezvoltării Duplicarea dezvoltării unui algoritm pentru un program sau dispozitiv este înțeleasă ca o dezvoltare independentă (eventual de către diferite organizații) a aceluiași bloc Compararea blocurilor permite, în primul rând, identificarea erorilor și marcajelor și, în al doilea rând, alegerea celui mai eficient bloc Verificarea adecvării funcționării unui algoritm, program, dispozitiv este implementată prin procese de modelare, folosind algoritmi simplificați (trunchiați), rezolvând o problemă inversă (dacă există) și, de asemenea, folosind testarea Testarea este un mijloc universal de verificare a adecvării și operabilității blocurilor Dacă numărul de acțiuni de intrare și condițiile externe este finit și poate fi setat la testarea blocului pentru un timp acceptabil pentru practică și toate reacțiile necesare ale blocului sunt cunoscute, atunci adecvarea funcționării blocului poate fi confirmată fără ambiguitate, de exemplu , blocul este complet lipsit de erori și marcaje descoperi Eliminarea erorilor și a marcajelor prin testare este complicată de faptul că valoarea numerică a setului de intrare, potrivit experților, poate ajunge la ІО ІО Prin urmare, testarea pe întreaga zonă a acțiunilor de intrare va necesita un timp aproape infinit În astfel de cazuri, se utilizează o abordare probabilistică a selecției acțiunilor de intrare Dar o astfel de verificare nu poate garanta absența semnelor de carte și a erorilor Principiul filtrării pe mai multe straturi implică detectarea treptată a erorilor și a marcajelor unei anumite clase De exemplu, software-ul de filtrare poate fi utilizat pentru a identifica posibilele marcaje temporale, interval, frecvență și alte tipuri de marcaje Automatizarea procesului de dezvoltare reduce semnificativ posibilitatea introducerii marcajelor Acest lucru se explică, în primul rând, prin prezența unui număr mare de soluții standard pe care antreprenorul nu le poate modifica, formalizarea procesului de dezvoltare și posibilitatea controlului automatizat al deciziilor luate Controlul procedurii de dezvoltare stabilite implică controlul regulat asupra acțiunilor interpreților, controlul pas cu pas al algoritmilor, programelor și dispozitivelor, teste de acceptare Metode de prevenire a amenințărilor de spionaj și sabotaj Ei implementează abordarea tradițională pentru asigurarea IS-ului obiectelor La protejarea proceselor de prelucrare a informațiilor din CS de spionaj și sabotaj tradițional, se folosesc aceleași mijloace și metode de protecție ca și pentru protejarea altor obiecte care nu folosesc CS Clasificarea metodelor și mijloacelor de prevenire a amenințărilor de spionaj și sabotaj este prezentată în fig Aplicarea sistemului de securitate a obiectelor se bazează pe următoarele prevederi Orez Clasificarea metodelor și mijloacelor de prevenire a amenințărilor de spionaj și sabotaj Obiectul în care se lucrează cu informații confidențiale valoroase are, de regulă, mai multe linii de protecție: ) teritoriul controlat; ) clădire; ) sediul; ) dispozitiv, purtător de informații; ) program; ) resurse de informare De spionaj și sabotaj este necesar să se protejeze primele patru frontiere și personalul de serviciu Tehnologiile și schemele de protecție a frontierei împotriva spionajului și sabotajului sunt discutate mai detaliat în Cap Sistemul de securitate al instalației (SOS) al CS este creat pentru a preveni intrarea neautorizată în teritoriul și incinta instalației a persoanelor neautorizate, personalului de întreținere și utilizatorilor Compoziția sistemului de securitate depinde de obiectul protejat În cazul general, QMS-ul CS ar trebui să includă: • structuri de inginerie; • alarmă anti-efracție; • mijloace de observare; • subsistemul de acces la obiect; • schimbarea gardienilor de serviciu Organizarea muncii cu resurse de informații confidențiale implică lucrul cu documente Pentru a preveni astfel de amenințări precum furtul de documente, mediile de stocare, atributele sistemelor de securitate, studiul mediilor de stocare a deșeurilor și crearea de copii necontabile ale documentelor, este necesar să se determine procedura de contabilizare, stocare, emitere, exploatare și distrugere a mediilor de stocare Aplicați metode organizaționale de lucru cu resurse de informații confidențiale Asigurarea unei astfel de activități în instituție este implementată prin organizarea de divizii speciale de muncă de birou confidențială sau prin introducerea de posturi cu normă întreagă sau fără personal ale angajaților Lucrul cu resursele de informații confidențiale se desfășoară în conformitate cu legile Federației Ruse și instrucțiunile departamentale Fiecare organizație ar trebui să aibă: • sunt delimitate competenţele funcţionarilor cu privire la admiterea acestora la resursele informaţionale; • sunt determinate și echipate locuri de stocare a resurselor de informații confidențiale și locurile de lucru cu acestea; • a fost stabilită procedura de înregistrare, emitere, operare și depunere a resurselor de informații confidențiale; • persoane responsabile desemnate cu definirea atribuţiilor şi responsabilităţilor acestora; • colectarea organizată și distrugerea documentelor inutile și a suporturilor mașinii dezafectate; • control organizat asupra implementării procedurii stabilite de lucru cu resurse confidențiale Opoziția față de supraveghere se realizează în intervalele optice și infraroșu Observarea în intervalul optic de către un intrus care se află în afara obiectului cu un CS este ineficientă De la o distanță de m, chiar și o cameră perfectă cu focalizare lungă nu poate citi text de pe un document sau monitor Astfel, un teleobiectiv cu o distanță focală de mm asigură o rezoluție de doar x mm În plus, amenințările de acest tip sunt ușor de evitat cu: • utilizarea geamurilor cu conducție unidirecțională a luminii; • aplicarea draperiilor și colorarea de protecție a sticlei; • amplasarea desktopurilor, monitoarelor, tablourilor de bord și afișelor astfel încât acestea să nu fie vizibile prin ferestre sau uși deschise Pentru a contracara observarea în domeniul optic de către un intrus situat pe obiect, este necesar ca: • ușile sediului au fost închise; • amenajarea meselor și monitoarelor de calculator a exclus posibilitatea de a observa documente sau de a oferi informații pe o masă sau un monitor alăturat; • standurile cu informații confidențiale aveau perdele De regulă, contracararea supravegherii în infraroșu necesită utilizarea unor metode și mijloace speciale: costume de protecție, câmpuri termice false etc Combaterea interceptărilor se realizează folosind metode care sunt împărțite în două clase: ) metode de protejare a informațiilor de vorbire în timpul transmiterii acesteia prin canale de comunicație; ) metode de protectie impotriva ascultarii semnalelor acustice in incinta Informațiile vocale transmise prin canalele de comunicație sunt protejate de interceptări (închise) folosind metodele de codificare analogică și eșantionare a vorbirii urmate de criptare Scrambling este înțeles ca o modificare a caracteristicilor unui semnal de vorbire în așa fel încât semnalul modulat recepționat, având proprietăți de ilizibilitate și de nerecunoscut, ocupă aceeași bandă de frecvență a spectrului ca și cea deschisă originală În mod obișnuit, codificatoarele analogice convertesc semnalul de vorbire original prin modificarea caracteristicilor de frecvență și timp Orez Inversarea de frecventa a semnalului: a - semnal original; b - semnal convertit Se folosesc următoarele metode de conversie a frecvenței semnalului: • inversarea de frecvenţă a spectrului semnalului; • inversarea de frecvenţă a spectrului de semnal cu deplasare a frecvenţei purtătoare; • împărțirea benzii de frecvență a semnalului de vorbire în sub-benzi cu permutare și inversare ulterioară Inversarea de frecvență a spectrului semnalului constă în imaginea în oglindă a spectrului C(f) a semnalului original (Fig , o) în raport cu frecvența selectată fQ a spectrului Ca rezultat, frecvențele joase sunt convertite în cele înalte și invers (Fig , b) Această metodă de amestecare oferă un nivel scăzut de protecție, deoarece frecvența / este ușor de determinat Dispozitivele care implementează această metodă de protecție se numesc mascare Inversarea de frecvență a spectrului de semnal cu un offset al frecvenței purtătoare oferă un grad mai mare de protecție Metoda permutărilor de frecvență constă în împărțirea spectrului semnalului original în sub-benzi de lățime egală (până la sub-benzi) cu amestecarea lor ulterioară în conformitate cu un anumit algoritm Algoritmul depinde de o cheie - un număr (Fig ) Orez Permutarea în frecvenţă a semnalului: a - semnalul iniţial; b - semnal convertit Orez Permutarea temporală în timpul amestecării: a - cadru original; b - cadru convertit Cu amestecarea temporală, un cuantum de informații de vorbire (cadru) este stocat înainte de trimitere și este împărțit în segmente de aceeași durată Segmentele sunt amestecate în mod similar cu permutările de frecvență (Fig ) La recepție, cadrul este invers transformat Combinațiile de amestecare în timp și frecvență pot crește semnificativ gradul de protecție a informațiilor de vorbire Acest lucru vine cu prețul unei creșteri substanțiale a complexității scramblerilor Discretizarea informațiilor de vorbire cu criptare ulterioară oferă cel mai înalt grad de protecție În procesul de eșantionare, informațiile de vorbire sunt reprezentate în formă digitală În această formă, este convertit în conformitate cu algoritmii de criptare selectați care sunt utilizați pentru a converti datele în CS Protecția semnalelor acustice în sediul COP este un domeniu important de contracarare a interceptărilor Există mai multe metode de protecție împotriva ascultării semnalelor acustice: • izolarea fonică și absorbția fonică a semnalului acustic; • încăperi zgomotoase sau medii solide pentru a masca semnalele acustice; • protecție împotriva înregistrării neautorizate a informațiilor de vorbire pe un înregistrator de voce; • detectarea și confiscarea dispozitivelor încorporate Prevenirea amenințării interceptării cu ajutorul dispozitivelor de ascultare încorporate se realizează prin metode de monitorizare radio a spațiilor, căutarea marcajelor neradiante și suprimarea dispozitivelor încorporate Hardware-ul și software-ul pentru implementarea acestor metode sunt descrise în detaliu în Cap Protecția împotriva acțiunilor rău intenționate ale personalului de întreținere și ale utilizatorilor este de mare importanță pentru operațiune, deoarece conform statisticilor acestea reprezintă % din cazurile de influențe rău intenționate asupra resurselor informaționale și sunt comise de persoane direct legate de operațiune tsii KS Astfel de acțiuni fie sunt efectuate sub influența unor grupuri criminale (servicii de informații), fie sunt determinate de cauze interne (invidie, răzbunare, interes propriu etc ) Pentru a bloca amenințările de acest tip, conducerea organizației cu ajutorul serviciului de securitate trebuie să ia următoarele măsuri organizatorice: • să obțină informații despre angajații, oamenii sau organizațiile săi care reprezintă o potențială amenințare la adresa resurselor informaționale prin toate mijloacele legale disponibile; • asigura protectia angajatilor; • stabilirea controlului accesului la resursele protejate; • monitorizează implementarea măsurilor de securitate stabilite; • să creeze și să mențină un climat moral sănătos în echipă Managementul ar trebui să aibă, în măsura în care este posibil, informații complete despre stilul de viață al angajaților lor În acest caz, atenția principală trebuie acordată obținerii de informații despre mediul imediat, corespondența veniturilor și cheltuielilor legale, prezența obiceiurilor proaste, trăsăturile negative de caracter, starea de sănătate, gradul de satisfacție față de activitățile profesionale și funcția deținută Pentru a obține astfel de informații se folosesc ofițeri de securitate, psihologi și conducerea instituției În același scop, interacțiunea se realizează cu organele Ministerului Afacerilor Interne al Rusiei și cu serviciile speciale Colectarea informațiilor trebuie efectuată fără a încălca legile și drepturile individului În afara unității, de regulă, sunt protejați doar managerii și angajații care sunt cu adevărat amenințați de impactul intrușilor Într-o organizație care lucrează cu informații confidențiale, este obligatoriu restricționarea accesului la resursele informaționale În caz de trădare sau alte acțiuni rău intenționate ale unui angajat, prejudiciul trebuie limitat la sfera de competență a acestuia Angajații instituției trebuie să fie conștienți de faptul că implementarea regulilor stabilite este controlată de către serviciul de management și securitate Nu ultimul rol în oprirea amenințărilor de acest tip este jucat de climatul moral din echipă În mod ideal, fiecare angajat este un patriot al echipei, își prețuiește locul, inițiativa și diferențele sunt apreciate de management Metode de prevenire a amenințărilor de acces neautorizat la CS Sunt cele mai practice și obișnuite pentru practica utilizatorului Pentru a implementa acces neautorizat (UAS), atacatorul nu folosește niciun hardware sau software care nu face parte din CS Se accesează folosind: Metode și mijloace de prevenire a accesului neautorizat la CS eu Diferențierea accesului la informații Identificarea și autentificarea utilizatorului Diferențierea accesului la fișiere, directoare, discuri Controlul integrității software și a informațiilor Crearea unui mediu de utilizator închis funcțional Protejarea procesului de pornire a sistemului de operare Blocarea PC-ului în absența utilizatorului Transformarea criptografică a informațiilor Înregistrare la eveniment Curățare regulată a memoriei Software de protecție împotriva copierii Apărări împotriva cercetării software CZZ Informații dificil de citit Prevenirea utilizării informațiilor scanate Rescrierea informațiilor din medii standard în medii non-standard și invers Stocarea datelor și a programelor sub formă convertită prin metode criptografice Markup media non-standard Reprogramare VZU, ajustări hardware și setări Poziționarea în unități de disc magnetice prin numerotare înapoi Modificarea algoritmului de calcul al sumei de control Utilizarea blocului de control al mediului de găzduire a programului Anti-demontare - Anti-urmărire Schimbarea NIJ Criptarea mediului de operare Arhivare Utilizarea codurilor autogeneratoare Modificarea codurilor programului Aplicarea tranzițiilor aleatorii "Înșelăciune" dezasamblatorului Modificarea informațiilor de sistem și a structurii deteriorării fizice pe HDD: găuri, formatare non-standard, marcarea sectoarelor ca defecte etc Utilizarea algoritmilor parțiali ai tehnologiilor de protecție împotriva utilizării neautorizate a programelor într-un mediu "străin" Aplicarea cheilor electronice Excluzând posibilitatea selectării automate a codului Orez Clasificarea metodelor și mijloacelor de prevenire a accesului neautorizat la CS • cunoștințe despre CS și capacitatea de a lucra cu acesta; • informații despre sistemul de securitate a informațiilor; • defecțiuni, defecțiuni hardware și software; • erori, neglijență a personalului de service și a utilizatorilor Metodele și mijloacele de prevenire a accesului neautorizat la CS sunt variate Clasificarea lor este prezentată în fig Pentru a proteja informațiile de accesul neautorizat, este creat un sistem pentru a restricționa accesul la informații Este posibil să se obțină acces neautorizat la informații în prezența unui sistem de control al accesului (ASS) numai în caz de defecțiuni și defecțiuni ale CS, precum și utilizarea deficiențelor din sistemul integrat de securitate a informațiilor Pentru a exploata punctele slabe ale unui sistem de securitate, un atacator trebuie să fie conștient de ele Una dintre modalitățile de a obține informații despre deficiențele sistemului de protecție este studierea mecanismelor de protecție Un atacator poate testa sistemul de protecție prin contact direct cu acesta În acest caz, există o probabilitate mare ca sistemul de protecție să detecteze încercări de testare Ca urmare, serviciul de securitate poate lua măsuri de protecție suplimentare, care includ: • metode şi mijloace de diferenţiere a accesului la informaţie; • metode și mijloace de protecție împotriva cercetării și copierii informațiilor A doua abordare este mai atractivă pentru atacatori În primul rând, se obține o copie a software-ului sistemului de protecție sau a unui mijloc tehnic de protecție, apoi se efectuează un studiu în laborator În plus, crearea de copii neînregistrate pe suporturi amovibile este una dintre cele mai comune și convenabile modalități de a fura informații În acest fel, se realizează replicarea neautorizată a programelor Este mult mai dificil să obții în secret un mijloc tehnic de protecție pentru cercetare decât unul software, iar o astfel de amenințare este blocată prin mijloace și metode care asigură integritatea structurii tehnice a CS Pentru a bloca cercetarea și copierea neautorizată a informațiilor CS, se utilizează un set de mijloace și măsuri de protecție, care sunt combinate într-un sistem de protecție împotriva cercetării și copierii informațiilor (SZIK) Metode și mijloace de prevenire a amenințărilor accidentale la adresa COP Ele sunt împărțite în șase grupe (Fig ) Dublarea informațiilor este una dintre cele mai eficiente modalități de a asigura integritatea informațiilor Oferă protecție a informațiilor atât împotriva amenințărilor accidentale, cât și împotriva influențelor deliberate În funcție de valoarea informațiilor, caracteristicile de construcție și modurile de funcționare ale CS, pot fi utilizate diverse metode de duplicare a informațiilor, care sunt clasificate după diverse criterii În funcție de timpul de recuperare a informațiilor, metodele de duplicare a informațiilor se împart în operaționale și neoperaționale Metodele operaționale de duplicare a informațiilor includ metode care permit utilizarea de duplicare a informațiilor în timp real Aceasta înseamnă că trecerea la utilizarea informațiilor duplicate se realizează într-un timp care vă permite să îndepliniți o solicitare de utilizare a informațiilor în timp real pentru acest CS Toate metodele care nu asigură îndeplinirea acestei condiții sunt clasificate drept metode neoperaționale de duplicare a informațiilor După tipul de copiere, metodele de duplicare a informațiilor pot fi: • copie integrală; • oglindire; • copiere parțială; • copiere combinată Copia completă dublează toate fișierele La oglindire, orice modificări ale informațiilor principale sunt însoțite de aceleași modificări ale informațiilor duplicate Cu o astfel de duplicare, informațiile principale și duplicatul sunt întotdeauna identice Copierea parțială implică crearea de duplicate ale anumitor fișiere, cum ar fi fișierele utilizator Un tip de copie parțială, numită copie incrementală, este o metodă de a crea duplicate ale fișierelor care s-au modificat de la ultima copie Copierea combinată permite combinații, de exemplu, copii complete și parțiale cu o frecvență diferită de implementare a acestora În funcție de numărul de copii, metodele de duplicare a informațiilor sunt împărțite în un singur nivel și multi-nivel De regulă, numărul de niveluri nu depășește trei În funcție de mijloacele utilizate pentru duplicare, metodele de duplicare a informațiilor se împart în cele care utilizează: • dispozitive de stocare externe suplimentare (VSD); • zone de memorie special alocate pe medii de mașină neamovibile; • suporturi amovibile În funcție de tipul de informații duplicate, metodele de duplicare a informațiilor sunt împărțite în: • metode cu compresia informatiei; • metode fără compresia informaţiei Metode și mijloace de prevenire a amenințărilor accidentale la adresa COP În funcție de distanțarea purtătorilor de informații principale și de rezervă, metodele de duplicare a informațiilor sunt împărțite în metode de duplicare concentrată și dispersată Pentru certitudine, este recomandabil să se ia în considerare ca metode de duplicare a informațiilor concentrate astfel de metode pentru care transportatorii cu informațiile principale și duplicate sunt localizați în aceeași cameră Toate celelalte metode sunt distribuite Creșterea fiabilității CS este una dintre modalitățile eficiente de a preveni amenințările accidentale la adresa CS Fiabilitatea este înțeleasă ca proprietatea unui sistem de a îndeplini sarcinile care îi sunt atribuite în anumite condiții de funcționare și o perioadă de timp stabilită Când apare o defecțiune, sistemul informatic nu poate îndeplini toate sarcinile prevăzute de documentație, adică merge de la bine la rău Dacă, în cazul unei defecțiuni, sistemul informatic este capabil să îndeplinească funcțiile specificate, menținând în același timp valorile principalelor caracteristici în limitele stabilite de documentația tehnică, atunci este în stare de funcționare Din punctul de vedere al asigurării securității informațiilor, este necesar să se mențină cel puțin o stare funcțională a CS Pentru a rezolva această problemă, este necesar să se asigure o fiabilitate ridicată a funcționării algoritmilor, programelor și mijloacelor tehnice (hardware) Deoarece algoritmii din CS sunt implementați prin executarea de programe sau prin hardware, fiabilitatea algoritmilor nu este luată în considerare separat În acest caz, se consideră că fiabilitatea CS este asigurată de fiabilitatea software-ului și hardware-ului Fiabilitatea CS este atinsă în etapele dezvoltării, producției și exploatării acestora Pentru software sunt luate în considerare etapele de dezvoltare și operare Etapa de dezvoltare a software-ului este decisivă în crearea unor sisteme informatice fiabile În această etapă, principalele direcții pentru îmbunătățirea fiabilității software-ului sunt: • formularea corectă a sarcinii de dezvoltare; • utilizarea tehnologiilor avansate de programare; • controlul funcționării corecte Corectitudinea enunțului problemei este obținută ca urmare a muncii comune a experților în domeniu și a programatorilor de algoritmi de înaltă profesie: În prezent, tehnologiile moderne de programare (de exemplu, tehnologia CASE) sunt folosite pentru a îmbunătăți calitatea produselor software Aceste tehnologii pot reduce semnificativ posibilitatea de a introduce erori subiective ale dezvoltatorului Ele sunt caracterizate printr-o automatizare ridicată a pro- procesul de programare, folosind module software standard, testându-le munca în comun Controlul funcționării corecte a algoritmilor și programelor se realizează la fiecare etapă de dezvoltare și se încheie cu un control cuprinzător care acoperă toate sarcinile și modurile în curs de rezolvare În etapa operațională, instrumentele software sunt îmbunătățite, erorile observate sunt eliminate, integritatea instrumentelor software și relevanța datelor utilizate de aceste instrumente sunt menținute Fiabilitatea mijloacelor tehnice (TS) ale COP este asigurată în toate etapele În etapa de dezvoltare, baza elementului, tehnologia de producție și soluțiile structurale sunt selectate pentru a asigura fiabilitatea maximă realizabilă a COP în ansamblu Rolul în procesul de asigurare a fiabilității vehiculului și a etapei de producție este mare Principalele condiții pentru lansarea de produse fiabile sunt un nivel tehnologic ridicat de producție și organizarea unui control eficient al calității vehiculelor fabricate Ponderea etapei de funcționare a TS în rezolvarea problemei asigurării fiabilității CS a scăzut semnificativ în ultimii ani Pentru anumite tipuri de tehnologie informatică, cum ar fi computerele personale, nivelul cerințelor pentru procesul de funcționare tehnică a scăzut aproape la nivelul de funcționare al aparatelor de uz casnic O caracteristică a stadiului actual de funcționare a instalațiilor informatice este convergența funcționării hardware și software (în special software general) Cu toate acestea, rolul etapei de operare a TS rămâne destul de semnificativ în rezolvarea problemei asigurării fiabilității CS și, mai ales, a fiabilității sistemelor complexe de calcul Utilizarea CS tolerant la erori este un instrument important pentru prevenirea amenințărilor aleatorii Toleranța la defecțiuni este o proprietate a CS de a rămâne operațional în cazul defecțiunilor individuale ale dispozitivelor, blocurilor, circuitelor Există trei abordări principale pentru a crea sisteme tolerante la erori: • simplă redundanță de informații sau blocuri individuale; • codificarea informațiilor imună la zgomot; • crearea de sisteme adaptative Orice sistem tolerant la erori are redundanță Una dintre cele mai simple și mai eficiente moduri de a crea sisteme tolerante la erori este redundanța simplă Redundanța simplă se bazează pe utilizarea dispozitivelor, blocurilor, nodurilor, circuitelor, modulelor și fișierelor de program doar ca rezervă Dacă elementul principal eșuează, se realizează trecerea la utilizarea elementului de rezervă Rezervările se fac o singură dată niveluri personale - la niveluri de dispozitive, blocuri, noduri, module, fișiere etc Rezervarea diferă și în profunzime În scopuri de redundanță, pot fi utilizate unul sau mai multe elemente redundante Nivelurile și profunzimea redundanței determină capacitatea sistemului de a preveni defecțiunile, precum și costurile hardware Codarea de corectare a zgomotului se bazează pe utilizarea redundanței informațiilor Informațiile de lucru din CS sunt completate de o anumită cantitate de informații speciale de control Prezența acestor informații de control (biți de control) permite, prin efectuarea anumitor acțiuni asupra informațiilor de lucru și de control, să se determine erori și chiar să le corecteze Deoarece erorile sunt rezultatul defecțiunilor mijloacelor CS, folosind coduri de corectare, este posibil să se elimine o parte din defecțiuni Capacitățile de corectare ale codurilor pentru o anumită metodă de codare de corectare a erorilor depind de gradul de redundanță Codarea de corectare a zgomotului este cea mai eficientă pentru a opri erorile de autocorecție numite glitches Codarea tolerantă la erori în crearea sistemelor tolerante la erori, de regulă, este utilizată în combinație cu alte abordări pentru a îmbunătăți toleranța la erori Cele mai perfecte sisteme rezistente la defecțiuni sunt sistemele adaptive Acestea realizează un compromis rezonabil între nivelul de redundanță introdus pentru a asigura stabilitatea (toleranța) sistemului la defecțiuni și eficiența utilizării unor astfel de sisteme în scopul propus În sistemele adaptive este implementat așa-numitul principiu al degradării elegante, care presupune păstrarea unei stări sănătoase a sistemului cu o anumită scădere a eficienței funcționării în cazurile de defecțiune a elementelor acestuia Optimizarea interacțiunii dintre utilizatori și personalul de service cu CS presupune utilizarea metodelor și mijloacelor organizaționale și sociale de prevenire a amenințărilor accidentale Una dintre principalele domenii de protecție a proceselor de procesare a informațiilor din CS împotriva amenințărilor neintenționate este reducerea numărului de erori ale utilizatorilor și personalului de service și minimizarea consecințelor acestor erori Pentru atingerea acestor obiective, este necesar: • organizarea științifică a muncii; • educarea și formarea utilizatorilor și a personalului; • analiza și îmbunătățirea proceselor de interacțiune între sistemul om-mașină (calculator) Organizarea stiintifica a muncii presupune: • echipamentele locurilor de muncă; • mod optim de lucru și odihnă; • interfață prietenoasă (comunicare, dialog) între o persoană și un CS Pentru a optimiza interacțiunea dintre utilizatori și personalul de întreținere, aceștia folosesc metode ergonomice, combinația optimă de muncă și odihnă, metode moderne de simplificare a interacțiunii umane cu un sistem informatic ca parte a îmbunătățirii dialogului, educarea și instruirea utilizatorilor pentru a respecta regulile de securitate a informațiilor atat la nivel de stat cat si la nivel de intreprindere, firme, corporatii O sarcină importantă de optimizare a interacțiunii umane cu CS este, de asemenea, analiza acestui proces și îmbunătățirea acestuia Analiza ar trebui efectuată în toate etapele de viață ale CS și ar trebui să vizeze identificarea legăturilor slabe Legăturile slabe sunt înlocuite sau îmbunătățite atât în procesul de dezvoltare a noilor CS, cât și în procesul de modernizare a celor existente Minimizarea daunelor cauzate de accidente și dezastre naturale este un grup de metode și mijloace de prevenire a amenințărilor accidentale și a consecințelor acestora în activitatea COP Dezastrele naturale și accidentele pot cauza pagube enorme instalațiilor CS Omul nu este încă capabil să prevină dezastrele naturale, dar în multe cazuri este posibil să se reducă consecințele unor astfel de fenomene Minimizarea consecințelor accidentelor și dezastrelor naturale pentru instalațiile CS poate fi realizată prin: • alegerea corectă a locației obiectului; • luarea în considerare a posibilelor accidente și dezastre naturale în dezvoltarea și funcționarea CS; • organizarea notificării moderne a posibilelor dezastre naturale; • instruirea personalului în lupta împotriva dezastrelor naturale și a accidentelor, metode de lichidare a consecințelor acestora Instalațiile CS, dacă este posibil, ar trebui să fie amplasate în zone în care nu există dezastre naturale, cum ar fi inundații și cutremure Obiectele trebuie amplasate departe de astfel de instalații periculoase precum fermele de rezervoare și rafinăriile de petrol, depozitele de substanțe combustibile și explozive, baraje etc În practică, este departe de a fi întotdeauna posibilă localizarea unui obiect departe de întreprinderi periculoase sau zone în care sunt posibile dezastre naturale Prin urmare, la dezvoltarea, crearea și exploatarea instalațiilor CS, este necesar să se prevadă măsuri speciale În zonele cu posibile cutremure, clădirile trebuie să fie rezistente la cutremure În zonele cu posibile inundații, este indicat să amplasați echipamentele principale la etajele superioare ale clădirilor Toate instalațiile trebuie să fie echipate cu sisteme automate de stingere a incendiilor În instalațiile pentru care probabilitatea dezastrelor naturale este mare, este necesar să se efectueze duplicarea distribuită a informațiilor și să se prevadă posibilitatea redistribuirii funcțiile obiectului Toate instalațiile trebuie să prevadă măsuri în caz de accident în sistemele de alimentare cu energie electrică Pentru obiectele care funcționează cu informații valoroase, este necesar să existe surse de alimentare neîntreruptibile de urgență și să furnizeze energie electrică de la cel puțin două linii electrice independente Utilizarea surselor de alimentare neîntreruptibile asigură cel puțin finalizarea procesului de calcul și stocarea datelor pe dispozitive de stocare externe Pentru stațiile mici de compresoare, astfel de surse sunt capabile să funcționeze timp de câteva ore Pierderea resurselor informaționale poate fi redusă semnificativ dacă personalul de service este avertizat în timp util cu privire la dezastrele naturale iminente În condiții reale, astfel de informații de multe ori nu au timp să ajungă la interpreți Personalul trebuie să fie instruit să răspundă la dezastre naturale și accidente, precum și să poată recupera informațiile pierdute Blocarea operațiunilor eronate este o tehnică metodică pentru excluderea extrem de eficientă a amenințărilor aleatorii la adresa CS Operațiunile sau acțiunile eronate pot fi cauzate de defecțiuni hardware și software, precum și erori ale utilizatorului și ale personalului de service Unele acțiuni eronate pot duce la încălcări ale integrității, disponibilității și confidențialității informațiilor Scriere eronată în memoria cu acces aleatoriu (RAM) și VSD, încălcarea delimitării memoriei în modurile de operare multiprogram ale unui computer, ieșire eronată a informațiilor către un canal de comunicație, scurtcircuite și ruperea conductorilor - aceasta nu este o listă completă a acțiunilor eronate care reprezintă o amenințare reală la adresa securității informațiilor din CS Pentru blocarea acțiunilor eronate se folosesc mijloace tehnice și hardware-software (sunt prezentate în detaliu în Capitolul ) Metode criptografice pentru prevenirea amenințărilor în CS Metodele de prevenire a amenințărilor criptografice în CS sunt cele mai eficiente modalități de a proteja IT și sistemele Transformarea criptografică a informațiilor este înțeleasă ca o astfel de transformare a informațiilor originale, în urma căreia aceasta devine inaccesibilă pentru familiarizare și utilizare de către persoanele care nu au autoritatea în acest sens Există diverse abordări ale clasificării metodelor de transformare criptografică a informațiilor În funcție de tipul de impact asupra informațiilor originale, metodele de transformare criptografică a informațiilor pot fi împărțite în cinci grupuri: • codificare; • compresie-expansiune; • stenografie; • criptare-decriptare; • disecţia şi separarea Clasificarea metodelor criptografice și a mijloacelor de prevenire a amenințărilor IS este prezentată în fig Procesul de codificare a informaţiei constă în înlocuirea structurilor semantice ale informaţiei originale (cuvinte, propoziţii) cu coduri Codarea poate fi simbolică și semantică În codificarea caracterelor, combinațiile de litere, cifre, litere și numere pot fi folosite ca coduri Pentru codificarea semantică și transformarea inversă se folosesc tabele sau dicționare speciale Este oportun să se utilizeze codificarea informațiilor în sisteme cu un set limitat de structuri semantice Acest tip de transformare criptografică este aplicabilă, de exemplu, în liniile de comandă ale sistemelor automate de control Dezavantajele codificării informațiilor confidențiale este necesitatea stocării și distribuirii tabelelor de codificare, care trebuie schimbate frecvent pentru a evita dezvăluirea codurilor prin metode statistice de procesare a mesajelor interceptate Comprimarea-extinderea informațiilor poate fi atribuită metodelor de transformare criptografică a informațiilor cu anumite rezerve Scopul compresiei este de a reduce cantitatea de informații Dar informațiile comprimate nu pot fi citite sau utilizate fără transformare inversă Având în vedere disponibilitatea instrumentelor de compresie și transformare inversă, aceste metode nu pot fi considerate mijloace fiabile de transformare a informațiilor criptografice Chiar dacă algoritmii sunt păstrați secreti, aceștia pot fi dezvăluiți relativ ușor prin metode statistice de prelucrare a informațiilor Prin urmare, fișierele comprimate de informații confidențiale sunt ulterior criptate Pentru a reduce timpul, este recomandabil să combinați procesul de comprimare și criptare a informațiilor Procedurile de tăiere și spațiere a textelor, simbolurilor și semnelor ca elemente de comprimare și extindere pot fi de natură semantică sau mecanică Spre deosebire de alte metode de transformare criptografică a informațiilor, metodele scurte vă permit să ascundeți nu numai sensul informațiilor stocate sau transmise, ci și faptul însuși de a stoca sau transmite informații clasificate În sistemele informatice, utilizarea practică a stenografiei este abia la început, dar studiile își arată promisiunea În centrul tuturor metodelor de stenografie este mascarea informațiilor sensibile printre fișierele deschise Tratament eu- Codificare Simbolic - utilizarea combinațiilor de litere, numere, litere și numere ale diferitelor alfabete de cod Semantică - utilizarea de tabele și dicționare speciale "~~G Compresie-expansiune Tăiere și explozie - Adică ~] -*~| Mecanic*] Orez Clasificarea metodelor criptografice și a mijloacelor de prevenire a amenințărilor IS fișierele multimedia din COP a deschis posibilități aproape nelimitate în fața stenografiei Există mai multe metode de transmitere secretă a informațiilor Una dintre ele este o metodă de introducere a informațiilor ascunse - ascunderea fișierelor atunci când lucrați în sistemul de operare MS DOS În spatele fișierului text deschis, este scris un fișier binar ascuns, a cărui dimensiune este mult mai mică decât fișierul text La sfârșitul fișierului text este plasat marcajul EOF (combinația tastelor [Control] și [Z]) Când accesați acest fișier text folosind instrumente standard ale sistemului de operare, citirea se oprește atunci când este atins marcajul EOF și fișierul ascuns rămâne inaccesibil Pentru fișierele binare, nu există semne la sfârșitul fișierului Sfârșitul unui astfel de fișier este determinat de atributele de procesare care stochează lungimea fișierului în octeți Fișierul ascuns poate fi accesat prin deschiderea fișierului ca binar Fișierul ascuns poate fi criptat Dacă cineva descoperă accidental un fișier ascuns, atunci informațiile criptate vor fi percepute ca o defecțiune în sistem Informațiile grafice și sonore sunt prezentate sub formă numerică Deci, în obiectele grafice, cel mai mic element de imagine poate fi codificat într-un octet În biții mai puțin semnificativi ai anumitor octeți ai imaginii, în conformitate cu algoritmul de transformare criptografică, sunt plasați biții fișierului ascuns Dacă alegeți algoritmul de conversie potrivit și imaginea față de care este plasat fișierul ascuns, atunci este aproape imposibil ca ochiul uman să distingă imaginea rezultată de cea originală Este foarte dificil să dezvălui informații ascunse cu ajutorul unor programe speciale Imaginile de teren sunt cele mai potrivite pentru introducerea de informații ascunse: fotografii de la sateliți, avioane etc Cu ajutorul stenografiei, textul, imaginea, vorbirea, semnătura digitală, mesajul criptat poate fi mascat Utilizarea complexă a stenografiei și criptării crește foarte mult complexitatea rezolvării problemei de detectare și dezvăluire a informațiilor confidențiale Principalul tip de transformare criptografică a informațiilor din CS este criptarea sau decriptarea Criptarea este înțeleasă ca procesul de conversie a informațiilor simple în informații criptate (text cifrat) sau procesul de conversie a informațiilor criptate înapoi în text simplu Procesul de conversie a informațiilor deschise în informații închise se numește criptare, iar procesul de conversie a informațiilor închise în informații deschise se numește decriptare De-a lungul istoriei de secole a utilizării criptării informațiilor de către omenire, au fost inventate multe metode de criptare sau cifruri Se numește o metodă de criptare sau cifră un set de transformări reversibile ale informațiilor deschise în informații închise în conformitate cu algoritmul de criptare Majoritatea metodelor de criptare nu au trecut testul timpului, iar unele sunt încă folosite astăzi Apariția calculatoarelor și a CS a inițiat procesul de dezvoltare a unor noi cifruri, ținând cont de posibilitatea utilizării computerelor atât pentru criptarea/decriptarea informațiilor, cât și pentru atacuri asupra cifrului Un atac asupra unui cifr (criptanaliza) este procesul de decriptare a informațiilor confidențiale fără a cunoaște cheia și, eventual, în absența cunoștințelor despre algoritmul de criptare Metodele moderne de criptare trebuie să îndeplinească următoarele cerințe: • capacitatea cifrului de a rezista criptoanalizei (criptorezistența) trebuie să fie de așa natură încât deschiderea lui să poată fi realizată numai prin rezolvarea problemei enumerarii complete a cheilor; • puterea criptografică este asigurată nu de secretul algoritmului de criptare, ci de secretul cheii; • textul cifrat nu trebuie să depășească semnificativ volumul informațiilor originale; • erorile care apar în timpul criptării nu trebuie să conducă la distorsiuni și pierderi de informații; • timpul de criptare nu trebuie să fie mare; • costul criptării trebuie să fie în concordanță cu costul informațiilor care sunt închise Puterea criptografică a unui cifr este principalul indicator al eficacității acestuia Se măsoară prin timpul sau costul fondurilor necesare criptoanalistului pentru a obține informațiile originale pe textul cifrat, cu condiția ca acesta să nu cunoască cheia Este aproape imposibil să păstrezi secret un algoritm de criptare utilizat pe scară largă Prin urmare, algoritmul nu ar trebui să aibă puncte slabe ascunse care ar putea fi exploatate de criptoanalisti Dacă această condiție este îndeplinită, atunci puterea criptografică a cifrului este determinată de lungimea cheii, deoarece singura modalitate de a deschide informațiile criptate este de a enumera combinațiile de chei și de a executa algoritmul de decriptare Astfel, timpul și banii cheltuiți pentru criptoanaliza depind de lungimea cheii și de complexitatea algoritmului de criptare Un exemplu de metodă de criptare de succes este cifrul DES (Standard de criptare a datelor), care a fost folosit în Statele Unite din ca standard de stat Algoritmul de criptare nu este secret și a fost publicat în presa deschisă Pe toată perioada de utilizare a acestui cifru, nu a fost făcut public niciun caz de detectare a deficiențelor în algoritmul de criptare La sfârșitul anilor utilizarea unei chei pe de biți a asigurat că ar dura câțiva ani pentru a sparge cifrul funcționarea continuă a celor mai puternice computere din acel moment Progresul în domeniul tehnologiei computerelor a redus semnificativ timpul de determinare a cheii prin căutare exhaustivă O cheie pe de biți pentru DES poate fi găsită în mai puțin de de zile folosind supercomputerul Cray T D, care are de noduri și costă de milioane de dolari, conform Agenției Naționale de Securitate din SUA Folosind un cip FPGA (Field Programmable Gate Argau) USD, o cheie DES pe de biți poate fi recuperată în ore Pentru USD pentru de cipuri FPGA, o cheie pe de biți poate fi găsită în medie în minute Este nevoie în medie de zile pentru a sparge o cheie DES pe de biți folosind tehnologia comercială și un cost de USD, iar dacă este dezvoltat un cip personalizat, durează ore La un cost de milioane USD, cheile pe de biți pot fi găsit în s Calculele arată că în prezent, pentru închiderea fiabilă a informațiilor, lungimea cheii trebuie să fie de cel puțin de biți Metodele de criptare-decriptare sunt împărțite în două grupe: metode de criptare cu cheie simetrică și sisteme de criptare cu cheie publică (vezi Figura ) Metodele de criptare cu chei simetrice includ următoarele: • metode de înlocuire; • metode de permutare; • metode de analiză; • metode aditive (gamming); • metode combinate Sistemele de criptare cu chei publice includ următoarele: • sistem RSA; • Sistemul ElGamal; • Criptosistem McEliece Metode și mijloace de oprire a amenințărilor Metodele și mijloacele de oprire a amenințărilor sunt împărțite în trei grupuri (vezi Fig ): • oprirea amenințărilor de la radiațiile electromagnetice și pickup-uri; • introducerea unui sistem integrat de protecție a CS; • aplicarea metodelor și mijloacelor de protejare a proceselor de prelucrare a informațiilor într-un CS securizat Oprirea amenințărilor cauzate de radiațiile electromagnetice și interferențe Aceste metode, la rândul lor, sunt împărțite în două grupe: pasive și active (Fig ) Metodele pasive asigură o scădere a nivelului unui semnal periculos sau o scădere a conținutului informațional al semnalelor Activ metodele au ca scop crearea de interferențe în canalele de radiații electromagnetice false și de captare care îngreunează primirea și extragerea de informații utile din semnalele interceptate de un atacator Pentru a bloca amenințarea expunerii la componentele electronice și la dispozitivele de stocare magnetice cu impulsuri electromagnetice externe puternice și radiații de înaltă frecvență, ceea ce duce la funcționarea defectuoasă a componentelor electronice și la ștergerea informațiilor de pe mediile de stocare magnetice, se utilizează ecranarea mijloacelor protejate Protecția împotriva radiațiilor electromagnetice false și a interferențelor se realizează atât prin metode pasive, cât și active Metodele pasive de oprire a amenințărilor din radiațiile electromagnetice și pickup-uri sunt împărțite în trei grupe: ecranare; reducerea puterii radiațiilor și a capturilor; scăderea conținutului informațional al semnalelor Orez Clasificarea metodelor și mijloacelor de prevenire a amenințărilor cauzate de radiațiile electromagnetice și interferențe Ecranarea este una dintre cele mai eficiente metode de protejare a proceselor de procesare a informațiilor de radiațiile electromagnetice Ecranarea este înțeleasă ca plasarea elementelor CS care creează câmpuri electrice, magnetice și electromagnetice în structuri închise spațial Metodele de screening depind de caracteristicile câmpurilor create de elementele CS atunci când un curent electric circulă în ele Caracteristicile câmpurilor depind de parametrii semnalelor electrice din CS Deci, la curenți mici și tensiuni înalte, componenta electrică predomină în câmpul generat Un astfel de câmp se numește electric (electrostatic) Dacă în conductor circulă un curent mare la valori de tensiune scăzută, atunci componenta magnetică predomină în câmp, iar câmpul se numește magnetic Câmpurile în care componentele electrice și magnetice sunt comensurabile se numesc electromagnetice Reducerea puterii radiațiilor și a capturilor și a conținutului informațional al semnalelor se realizează prin metode de protecție împotriva radiațiilor electromagnetice pasive (EMR) și a pickup-urilor combinate în acest grup, care sunt implementate pentru a reduce nivelul de radiație și influența reciprocă a elementele COP Acest grup include următoarele metode: • schimbarea circuitelor electrice; • utilizarea canalelor optice de comunicare; • modificarea designului; • utilizarea filtrelor; • izolare galvanică în sistemul de alimentare Schimbarea circuitelor electrice este efectuată pentru a reduce puterea radiațiilor parasite Acest lucru se realizează prin utilizarea elementelor cu radiații mai puține, reducând abruptul fronturilor de semnal, împiedicând apariția generării de paraziți și perturbând regularitatea repetărilor informaționale O direcție promițătoare în lupta împotriva EMR laterală este utilizarea canalelor de comunicații optice Cablurile de fibră optică sunt folosite cu succes pentru a transmite informații pe distanțe lungi Transferul de informații în cadrul aceleiași încăperi (chiar și de dimensiuni mari) poate fi efectuat folosind sisteme wireless care utilizează radiații în domeniul infraroșu Canalele de comunicații optice nu generează EMP Acestea oferă viteză mare de transmisie și nu sunt afectate de interferențe electromagnetice Schimbarea designului se reduce la schimbarea poziției relative a nodurilor, blocurilor, cablurilor individuale și reducerea lungimii anvelopelor Utilizarea filtrelor este una dintre principalele modalități de protecție împotriva EMP și interferențe laterale Filtrele sunt instalate atât în interiorul dispozitivelor, sistemelor de eliminare a propagării și posibilei amplificari a semnalelor electromagnetice false induse, cât și la ieșirea obiectelor liniilor de comunicație, semnalizare și alimentare Filtrele sunt calculate în așa fel încât să asigure reducerea semnalelor din domeniul de interferență laterală la un nivel sigur și să nu introducă distorsiuni semnificative ale semnalului util Intrarea semnalelor induse laterale în circuitul de alimentare externă este complet exclusă în prezența generatoarelor de energie care asigură izolarea galvanică între circuitele primar și secundar Utilizarea generatoarelor face posibilă, de asemenea, alimentarea circuitului secundar cu diferiți parametri (comparativ cu circuitul primar) Deci, în circuitul secundar, frecvența poate fi schimbată Generatoarele de energie, datorită inerției părții mecanice, fac posibilă netezirea ondulațiilor de tensiune și a întreruperilor de scurtă durată în circuitul primar Metodele active de oprire a amenințărilor de la radiațiile electromagnetice și pickup-urile implică utilizarea generatoarelor de zgomot care diferă în principiile de mascare a interferenței Interferența aleatorie cu o distribuție normală a densității spectrale a valorilor de amplitudine instantanee (interferența Gauss) și interferența țintită, care este o secvență aleatorie de semnale de interferență identice cu semnalele parasite, sunt utilizate ca mascare Utilizarea zgomotului spațial și liniar este eficientă Zgomotul spațial se produce datorită radiației semnalelor electromagnetice în spațiu folosind antene Zgomotul spațial local este utilizat pentru a proteja un anumit element al CS și zgomotul spațial al obiectului pentru a proteja întregul obiect de radiațiile electromagnetice parasite ale CS În cazul zgomotului spațial local, se utilizează interferența țintită Antena este situată lângă elementul protejat al COP Zgomotul spațial al obiectului este efectuat, de regulă, de mai multe generatoare cu propriile antene, ceea ce face posibilă crearea de interferențe în toate domeniile de radiații electromagnetice false de la toate dispozitivele emitente ale obiectului Zgomotul spațial ar trebui să asigure imposibilitatea izolării emisiilor parasite pe fondul interferențelor generate în toate domeniile de radiație; nivelul de interferență generat nu trebuie să depășească standardele sanitare și standardele de compatibilitate electromagnetică a echipamentelor radio-electronice Orez Clasificarea metodelor și mijloacelor unui sistem integrat de protecție a COP Orez Clasificarea metodelor și mijloacelor de protejare a proceselor de prelucrare a informațiilor într-un CS securizat Atunci când se utilizează zgomot liniar, generatoarele de interferențe vizate sunt conectate la linii conductoare pentru a crea interferențe electrice în ele, ceea ce nu permite atacatorilor să izoleze semnalele induse Implementarea unui sistem integrat de protectie pentru statiile de compresoare Aceasta este o metodă foarte eficientă de a opri amenințările Clasificarea metodelor și mijloacelor unui sistem integrat de protecție a CS este prezentată în fig Aplicarea metodelor și mijloacelor de protejare a proceselor de prelucrare a informațiilor într-un CS securizat Clasificarea metodelor și mijloacelor de protejare a proceselor de prelucrare a informațiilor într-un CS securizat este prezentată în fig Aceste metode și instrumente sunt discutate mai detaliat în Cap , Metode și mijloace de neutralizare a amenințărilor Metodele și mijloacele de neutralizare a amenințărilor sunt împărțite în trei grupuri (vezi Fig ): • metode şi mijloace de combatere a viruşilor informatici; • metode și mijloace de protejare a stocării și procesării informațiilor în bazele de date CS; • metode şi mijloace organizatorice şi tehnice complexe de eliminare sau neutralizare a ameninţărilor Metode și mijloace de combatere a virușilor informatici Metodele și mijloacele de combatere a virușilor informatici sunt prezentate în fig Aplicarea lor este discutată în cap Metode și mijloace de protejare a stocării și procesării informațiilor în bazele de date CS Clasificarea metodelor și mijloacelor de protejare a stocării și procesării informațiilor în bazele de date CS este prezentată în fig Bazele de date sunt considerate ca o stocare fiabilă a datelor structurate, dotate cu un mecanism special pentru utilizarea lor eficientă în interesul utilizatorilor (proceselor) Un astfel de mecanism este sistemul de management al bazei de date Un sistem de management al bazelor de date se referă la software sau hardware și instrumente software care implementează funcții de gestionare a datelor, cum ar fi vizualizarea, sortarea, selectarea, modificarea, efectuarea de operațiuni pentru determinarea caracteristicilor statistice etc Bazele de date sunt găzduite: • pe sistemul informatic al utilizatorului; • calculator dedicat (server) De obicei, sistemul informatic al unui utilizator găzduiește baze de date personale sau personale care servesc procesele unui singur utilizator Metoda de blocare a răspunsului la un număr greșit de solicitări implică eșecul cererii dacă aceasta conține mai mult de un anumit număr de înregistrări care se potrivesc din precedentele Metode și mijloace de combatere a virușilor informatici eu Detectarea virusului în CS Prevenirea infecției COP cu viruși - - Înlăturarea consecințelor infecției COP cu viruși Scanarea informațiilor pentru semnătura unui virus Folosind software obținut oficial Detectarea modificărilor folosind programe de auditor Aplicarea duplicarii informatiilor Aplicarea analizei euristice cu analizoare Utilizarea paznicilor rezidenți Utilizarea regulată a software-ului antivirus Restaurarea unui sistem după expunerea la viruși cunoscuți - folosind un program phage Organizarea verificării noilor medii și fișiere pentru absența virușilor de pornire și fișiere folosind programe de scanare, analiză euristică și paznici rezidenți - Recuperarea fișierelor și sectoarelor de boot infectate cu viruși cunoscuți Folosind o copie de rezervă sau o distribuție Distrugerea unui fișier și restaurarea lui manual Aplicarea programului de vaccinare Utilizarea instrumentelor antivirus hardware și software Utilizarea interdicțiilor privind executarea comenzilor macro de către editorii de text și tabel MS Word, MS Excel Organizarea verificărilor noilor medii amovibile și a fișierelor de intrare pe un computer special Utilizarea blocărilor de scriere a informațiilor pe suport (dacă este necesar) Orez Clasificarea metodelor și mijloacelor de combatere a virușilor informatici cereri Astfel, această metodă asigură implementarea principiului interconectarii minime a problemelor Această metodă este dificil de implementat, deoarece este necesar să vă amintiți și să comparați toate interogările anterioare Metoda de corectare a datelor și de denaturare a răspunsului este de a modifica ușor răspunsul exact la solicitarea utilizatorului Pentru a menține o acuratețe acceptabilă a informațiilor statistice, se aplică așa-numita schimb de date Esența sa constă în schimbul reciproc al valorilor câmpurilor înregistrării, în urma căruia toate statisticile de ordinul I, inclusiv cele care conțin atributele i sunt protejate pentru toate i mai mici sau egale cu un anumit număr Dacă un atacator poate identifica unele date, atunci nu va putea determina cărei înregistrări anume aparțin Se folosește și metoda de împărțire a bazelor de date în grupuri Fiecare grup nu poate conține mai mult de un anumit număr de intrări Interogările sunt permise oricărui set de grupuri, dar nu și unui subset de înregistrări din același grup Utilizarea acestei metode limitează capacitatea unui atacator de a extrage date la un nivel nu mai mic decât un grup de înregistrări Metoda de partiționare a bazelor de date nu și-a găsit aplicație largă din cauza dificultății de obținere a datelor statistice, actualizare și restructurare a datelor O metodă eficientă de contracarare a explorării bazei de date este selecția aleatorie a înregistrărilor pentru procesare Această organizare a selecției înregistrărilor nu permite unui atacator să urmărească mai multe cereri Metoda de securitate bazată pe context constă în atribuirea unor atribute de acces (citire, inserare, ștergere, actualizare, gestionare etc ) elementelor bazei de date (înregistrări, câmpuri, grupuri de câmpuri) în funcție de solicitările anterioare ale utilizatorilor De exemplu, permiteți utilizatorului să aibă următoarele câmpuri disponibile în interogări separate: "Numere de identificare" și "Numele angajaților", precum și "Numere de identificare" și "Suma salarial" Comparând răspunsurile la aceste întrebări, utilizatorul poate obține informații confidențiale despre salariile anumitor angajați Pentru a exclude această posibilitate, utilizatorului ar trebui să i se interzică accesul la câmpul "ID angajat" din a doua solicitare dacă a completat deja prima solicitare Orez Clasificarea metodelor și mijloacelor de protejare a stocării și procesării informațiilor în bazele de date CS Una dintre cele mai eficiente metode este de a monitoriza cererile primite pentru cereri "suspecte" sau o combinație de solicitări O analiză a unor astfel de încercări face posibilă identificarea posibilelor canale de obținere a accesului neautorizat la datele clasificate Metode și mijloace organizatorice și tehnice complexe de eliminare sau neutralizare a amenințărilor Acestea includ: utilizarea tehnologiilor moderne de programare, a sistemelor automate de dezvoltare a software-ului (PS), utilizarea bancurilor de control și testare integrate, organizarea protecției hardware în etapele de dezvoltare, producție și exploatare etc Tehnologiile moderne de programare presupun un grad ridicat de automatizare a proceselor de creare, depanare și testare a programelor Utilizarea modulelor standard face posibilă simplificarea procesului de creare a programelor, căutarea erorilor și a marcajelor Pentru a dezvolta instrumente software care nu conțin erori și marcaje, trebuie îndeplinite următoarele condiții: • utilizarea programării orientate pe obiecte; • disponibilitatea unui sistem automat de dezvoltare software; • aplicarea unui banc de control și testare complex; • disponibilitatea hardware pentru detectarea marcajelor; • organizarea apărării COP Una dintre direcțiile promițătoare pentru crearea de software de înaltă securitate este utilizarea programării orientate pe obiecte, care înlocuiește programarea structurată Utilizarea programării orientate pe obiecte (OOP) face posibilă separarea fazelor de descriere și a fazelor de implementare a tipurilor de date abstracte Două module dedicate permit compilarea separată Modulul de descriere specifică numele și tipurile de date interne protejate și externe, precum și o listă de proceduri (metode) cu o descriere a tipurilor și a numărului de parametri pentru acestea Modulul de implementare conține procedurile efective care prelucrează datele Această separare crește fiabilitatea programării, deoarece accesul la datele interne este posibil numai folosind procedurile enumerate în modulul de descriere Acest lucru vă permite să detectați majoritatea erorilor în procesarea unui tip de date abstracte în timpul compilării, și nu în timpul executării Analiza instrumentelor software pentru prezența marcajelor este facilitată, deoarece acțiunile permise cu date abstracte sunt specificate în modulul de declarare, și nu în corpul de proceduri Unul dintre conceptele centrale ale POO este conceptul de "clasă" Cu ajutorul acestui concept, legarea este definită un tip de date cu un set de proceduri și funcții care pot manipula acest tip de date Avantajul OOP constă și în posibilitatea de a modifica funcționarea, de a adăuga noi proprietăți sau de a elimina elementele inutile fără a modifica ceea ce este deja scris și depanat Este suficient ca utilizatorul să definească obiecte aparținând claselor deja create și să le trimită mesaje În același timp, controlul securității produselor software se reduce la analiza modulelor de descriere a clasei Dacă clasa din biblioteca de clase nu satisface dezvoltatorul, atunci acesta poate crea o clasă derivată din cea de bază, poate face modificările necesare în ea și poate lucra cu obiecte din clasa derivată rezultată Dacă datele și metodele clasei de bază nu ar trebui să fie disponibile în clasele derivate, atunci acestea ar trebui declarate ca interne Sistemele automate de dezvoltare software sunt unul dintre mijloacele eficiente de protejare a proceselor de prelucrare a informațiilor nu numai în etapa de dezvoltare, ci și în timpul funcționării produselor software Un efect special poate fi obținut în procesele de neutralizare a amenințărilor atât din întârzieri, cât și din erorile neintenționate ale personalului Un sistem automatizat (AS) este creat pe baza unei rețele locale (LAN) LAN include stațiile de lucru ale programatorilor și un server de administrator Programatorii au acces deplin doar la informațiile propriului computer și acces la computerele altor programatori în modul de citire Din stația de lucru a administratorului este posibil să accesați în modul citire computerul oricărui dezvoltator Baza de date de algoritmi ai software-ului dezvoltat se află pe serverul administratorului și include o arhivă de algoritmi software aprobați de dezvoltator și organizația de control sub formă de diagrame bloc, descrieri în pseudocod pentru controlul acestora de către administrator Serverul administratorului găzduiește o bază de date cu liste de programe pentru instrumentul software dezvoltat, care include o arhivă de programe aprobate de organizația de dezvoltatori și organizația de control pentru controlul acestora de către administrator, folosind programe pentru compararea listelor și căutarea secțiunilor modificate și adăugate de programe Serverul de administrator conține, de asemenea, o bază de date cu module executabile de referință ale programelor instrumentului software dezvoltat pentru controlul acestora folosind programe pentru a căuta modificări în aceste module Programele de control al versiunilor pentru liste de programe și comparații ale modulelor executabile ar trebui dezvoltate de o organizație care nu este asociată nici cu organizația de dezvoltare, nici cu controlul conduce organizația și trebuie să controleze programele pentru orice scop Securitatea dezvoltării poate fi controlată în felul următor Administratorul citește listele de programe și modulele executabile în bazele de date conform programului său, fără a anunța dezvoltatorii Cu ajutorul programelor de comparare, administratorul identifică și analizează modificările pe care dezvoltatorul le-a făcut față de ultimul control Pe măsură ce se dezvoltă module executabile, mostre de referință ale modulelor executabile gata de livrare către client sunt acumulate în baza de date a administratorului, a cărei siguranță este controlată de administrator Utilizarea unei astfel de organizări a muncii permite administratorului să identifice marcajele și erorile neintenționate în toate etapele dezvoltării software-ului Administratorul nu poate implementa marcajul el însuși, deoarece nu are dreptul de a modifica programele dezvoltate de programatori Una dintre cele mai eficiente modalități de a detecta erori și erori în software-ul dezvoltat este utilizarea unui banc de control și testare integrat al sistemului dezvoltat Vă permite să analizați instrumentele software prin aplicarea mai multor acțiuni de intrare pe fundalul unor factori externi în schimbare, cu ajutorul cărora este simulat impactul posibilelor marcaje Astfel, standul de control și testare poate fi considerat ca un model de simulare detaliat al sistemului dezvoltat, ceea ce face posibilă furnizarea unei analize cuprinzătoare a funcționării instrumentului software dezvoltat sub influența marcajelor Bancul de control și testare trebuie să îndeplinească următoarele cerințe: • trebuie să fie construit ca un sistem deschis, care să permită upgrade-uri și îmbunătățiri; • trebuie să asigure adecvarea structurii și a fluxurilor de informații la structura și a fluxurilor de informații ale sistemului real; • trebuie să satisfacă interschimbabilitatea modulelor software ale modelului și ale sistemului real; • ar trebui să permită atât testarea de sine stătătoare a modulelor, cât și întregul instrument software în ansamblu Standul de control și testare poate conține următoarele blocuri: • modul de sistem, care constă din blocuri software și module software ale sistemului real; • modul de configurare a modelului de sistem care realizează înregistrarea și activarea dinamică a modulelor software sistem real și blocuri de module de program din bazele de date corespunzătoare; • baza de date a modelelor de amenințare - pentru acumularea și modificarea modelelor de amenințare prezentate într-o formă formalizată; • un modul pentru generarea de acțiuni de intrare care ia în considerare posibilele amenințări, restricții privind informațiile de intrare și rezultatele testelor la pasul anterior; • un model de influenţe externe, conceput pentru a ţine cont de influenţele externe sistemului modelat; • modul pentru analiza rezultatelor testelor Modulele software executabile sunt verificate în timpul procesului de certificare pe standuri speciale hardware-software capabile să simuleze funcționarea software-ului testat pe un set acceptabil de input și influențe externe În timpul controlului se efectuează o operație care este opusă translației - demontare Pentru a simplifica analiza modulelor executabile, se folosesc și depanatoare și trasoare, care vă permit să controlați succesiunea evenimentelor și ordinea în care sunt executate comenzile Disponibilitatea hardware-ului pentru detectarea marcajelor în stadiul de dezvoltare, producție și operare este un mijloc eficient de eliminare și neutralizare a amenințărilor Marcajele hardware pot fi introduse nu numai în procesul de dezvoltare și modernizare, ci și în procesul de producție în masă, transport și depozitare a hardware-ului Pentru a proteja împotriva introducerii erorilor hardware, pe lângă respectarea principiilor generale de protecție, este necesar să se asigure o verificare completă a componentelor furnizate dezvoltatorului (producătorului) din exterior Componentele trebuie inspectate și testate cu atenție pe standuri speciale Testele sunt efectuate, dacă este posibil, prin aplicarea tuturor semnalelor de intrare posibile în toate modurile permise Dacă o enumerare completă a tuturor combinațiilor de semnale de intrare este practic imposibilă, atunci se folosesc metode de control probabilistic Cel mai adesea, testarea probabilistică se realizează prin obținerea de combinații de semnale de intrare folosind un generator de numere aleatoare și aplicarea acestor semnale produsului testat și de control Ca control, se folosește același produs ca și cel testat, dar verificat pentru absența marcajelor, erorilor și defecțiunilor Semnalele de ieșire ale ambelor produse sunt comparate Dacă nu se potrivesc, atunci se ia decizia de a înlocui produsul testat Când se testează produse prin furnizarea de secvențe deterministe de semnale de intrare și compararea semnalelor de ieșire cu standarde, metodele de compresie sunt adesea folosite la ieșire semnale (date) Acest lucru reduce cantitatea de memorie necesară pentru a se adapta standardelor de ieșire Unitățile de raze X sunt folosite pentru studiul structurilor neseparabile (microcircuite, condensatoare, rezistențe, plăci de circuite imprimate etc ) Dacă este necesar, se efectuează o examinare cu raze X strat cu strat a produselor În procesul de producție, atenția principală este acordată automatizării proceselor tehnologice și controlului asupra respectării disciplinei tehnologice Operațiunile deosebit de responsabile pot fi efectuate sub supravegherea funcționarilor cu documentația ulterioară Etapele de dezvoltare, producție și modernizare a hardware-ului CS sunt finalizate prin verificarea prezenței erorilor de proiectare, a defectelor de fabricație și a marcajelor Blocurile și dispozitivele care au trecut cu succes controlul sunt stocate și transportate în așa fel încât să fie exclusă posibilitatea introducerii marcajelor Organizarea protecției CS împotriva accesului neautorizat și modificărilor în structurile sale în timpul funcționării este asigurată de metodologia de delimitare a accesului la echipamente (vezi subsecțiunea ) În timpul funcționării CS, invarianța structurilor hardware și software este asigurată prin împiedicarea accesului neautorizat la hardware și software, precum și prin organizarea monitorizării constante a integrității acestor instrumente Accesul neautorizat la hardware și software poate fi exclus sau împiedicat semnificativ de următorul set de măsuri: • protecția sediului în care se află hardware-ul CS; • diferențierea accesului la echipamente; • contracararea la conectarea neautorizată a echipamentelor; • protecția instalării interne, controalelor și comutării de la intervenția neautorizată; • contracararea introducerii programelor de sabotaj Metodele și software-ul și hardware-ul pentru restricționarea accesului la componente pentru rețelele de calculatoare, precum și alte metode organizatorice și tehnice de asigurare a securității proceselor de prelucrare a informațiilor sunt discutate în detaliu în Cap Întrebări de control Care sunt principalele abordări evolutive pentru asigurarea securității informațiilor în activitățile societății? Definiți armele informaționale Dați formula lui D Meadows Ce caracterizează și care sunt domeniile de aplicare a acestuia? Formulaţi principalele probleme ale securităţii informaţiei Enumerați principalele obiecte și subiecte de protecție a proceselor de prelucrare a informațiilor Formulați trei opțiuni pentru accesul subiectului la obiect Enumerați principalele caracteristici ale obiectelor și subiectelor I&B Enumerați principiile de bază pentru protejarea proceselor de prelucrare a informațiilor în AIT Oferiți o clasificare a metodelor și mijloacelor organizaționale și legale de prevenire a amenințărilor IS Oferiți o clasificare a metodelor de prevenire a amenințărilor de spionaj și sabotaj Oferiți o clasificare a metodelor de prevenire a amenințărilor de acces neautorizat la CS Oferiți o clasificare a metodelor de prevenire a amenințărilor aleatorii Oferiți o clasificare a metodelor criptografice pentru a preveni amenințările Oferiți o clasificare a principalelor metode și mijloace de oprire a amenințărilor Enumerați cele patru grupuri principale de metode și mijloace de protejare a proceselor de prelucrare a informațiilor într-un CS securizat Oferiți clasificarea principală a metodelor și mijloacelor de neutralizare a amenințărilor capitolul SUPORT METODOLOGIC ŞI TEHNIC PENTRU FUNCŢIONAREA ÎNTREPRINDERILOR Bazele metodologice ale suportului tehnic pentru protecția proceselor de prelucrare a informațiilor și controlul eficacității acesteia Sisteme de avertizare intruziune Obiectele, metodele și mijloacele de extragere neautorizată a informațiilor pot fi: • clădiri, structuri și structuri de clădire (pereți, tavane, pardoseli, deschideri de ferestre și uși, geamuri, sisteme de încălzire și alimentare cu apă, conducte de aer); la desfășurarea negocierilor și întâlnirilor cu caracter confidențial - prin canal vibroacustic; • obiecte mobile (auto și personal, transport feroviar, pe apă și aer); atunci când conduc conversații confidențiale - printr-un canal vibroacustic; • mijloace de tehnologie de joasă tensiune (echipamente de comunicații, amplificare sunet, echipamente audio și de televiziune, ceasuri electrice, transmisii radio, echipamente de alarmă de incendiu și securitate, mașini de scris electrice, aparate de aer condiționat etc ) atât atunci când sunt utilizate, cât și în cazul a prezenței obișnuite a acestora în spații destinate desfășurării evenimentelor cu caracter închis, transformărilor electro-acustice și datorate radiațiilor și pickup-urilor electromagnetice parasite (PEMIN); • echipamente informatice (imaginea de pe monitor se transmite prin aer pe o distanta considerabila) - pe cheltuiala PEMIN; • sistem de alimentare și împământare (prin aceste circuite este posibilă interceptarea informațiilor care sunt prelucrate de aparate (amplificare sunet, comunicare cu secretarul PC etc )), - pe cheltuiala PEMIN; • acustica (vorbire, sunete) din camere, mașini etc - datorită radiomicrofoanelor acustice ("bugs") peste canalul radio și prin fir, dispozitive de interceptare cu laser; • convorbiri telefonice - din cauza "bug-urilor" telefonice pe canalul radio și prin fir; • Mesaje fax - datorate interceptării prin radiații false și capturi și prin linii de comunicație; • "cadouri" și "suveniruri", mobilier, interior cu "bug-uri" încorporate; • acustica (vorbirea) persoanelor aflate la distanta cu ajutorul microfoanelor directionale; • comunicaţii radio prin reţele celulare Mijloacele tehnice de protecție sunt acelea cu ajutorul cărora protecția unui obiect este implementată printr-un dispozitiv tehnic, complex sau sistem Avantajele mijloacelor tehnice sunt o gamă largă de sarcini de rezolvat, fiabilitatea ridicată, capacitatea de a crea sisteme de protecție integrate avansate, răspunsul flexibil la încercările de acțiuni neautorizate și natura tradițională a metodelor utilizate pentru implementarea funcțiilor de protecție Principalele dezavantaje ale mijloacelor tehnice de protecție sunt costul ridicat al multor mijloace, necesitatea întreținerii și controlului regulat de rutină și posibilitatea de a genera alarme false Mijloacele tehnice sunt clasificate: • în legătură cu mijloace fixe ASOD; • funcţiile de protecţie îndeplinite; • gradul de complexitate al dispozitivelor de protecţie Conform conjugării cu mijloacele fixe ale L SOD, mijloacele tehnice se împart în: • Mijloace autonome care își îndeplinesc funcțiile de protecție indiferent de funcționarea mijloacelor ASOD, i e complet autonom; • cuplate - dispozitive independente care îndeplinesc funcţii de protecţie împreună cu mijloace fixe; • mijloace încorporate care sunt incluse structural în hardware-ul mijloacelor tehnice ale ASOD În funcție de funcțiile de protecție îndeplinite, mijloacele tehnice pot fi: • protectie externa - protejeaza impotriva impactului factorilor destabilizatori care apar in afara mijloacelor fixe ale ASOD; • identificare - un grup specific de instrumente menite să identifice oamenii după diverse caracteristici individuale; • protecţie internă - protejează împotriva impactului factorilor destabilizatori care se manifestă direct în mijloacele de prelucrare a informaţiei În funcție de gradul de complexitate al dispozitivelor de protecție, mijloacele tehnice pot fi împărțite în: • pe dispozitive simple - dispozitive simple și dispozitive care efectuează proceduri separate de protecție; • dispozitive complexe - unități combinate, formate dintr-un număr de dispozitive simple și capabile să implementeze proceduri complexe de protecție; • sisteme - complexe tehnice complete capabile să efectueze o procedură de protecţie combinată care are semnificaţie independentă Clasificarea în funcție de funcțiile de protecție îndeplinite este decisivă, iar clasificările după conjugarea cu mijloacele principale ale ASOD și gradul de complexitate al dispozitivelor de protecție reflectă în principal trăsăturile implementării constructive și organizatorice a mijloacelor Un complex modern pentru protejarea teritoriului obiectelor protejate ar trebui să includă următoarele componente principale: • sistem de avertizare intruziune; • sistem optic (de obicei de televiziune) de identificare a intrușilor; • sistem mecanic de protectie; • sistem defensiv (semnalizare sonoră și luminoasă, folosirea armelor dacă este necesar); • infrastructura de comunicații; • post central de securitate care colectează, analizează, înregistrează și afișează datele primite, precum și gestionează dispozitivele periferice; • personal de pază (patrule, de serviciu la postul central) În sistemele moderne de avertizare (sisteme de alarmă) despre încercările de invadare a unei zone protejate se folosesc mai multe tipuri de senzori Schema funcțională a sistemului de alarmă de urgență, incendiu și efracție a sistemului de avertizare este prezentată în fig Sistemele de securitate perimetrală fără gard utilizează senzori cu microunde, infraroșu, capacitivi, electrici și magnetici Orez Schema funcțională a alarmelor de urgență, incendiu și efracție a sistemului de avertizare: - senzori de incendiu; - senzori de urgență; - senzori de securitate; - senzori de mediu; - senzori de tensiune de alimentare; - canal radio; - senzori de protecție a echipamentelor Cu ajutorul senzorilor cu microunde și infraroșu, se formează o zonă extinsă de control de tip barieră Funcționarea sistemelor cu senzori cu microunde se bazează pe controlul intensității radiației direcționale de înaltă frecvență a emițătorului, care este percepută de receptor Alarma este declanșată atunci când această emisie direcțională este întreruptă Alarmele false pot fi cauzate de mișcarea animalelor în zona controlată, de impactul vegetației, precipitații, deplasarea vehiculelor, precum și de impactul emițătorilor străini Când se utilizează sisteme de avertizare în infraroșu, radiația luminoasă monocromatică apare între emițător și receptor în regiunea invizibilă a spectrului Alarma este declanșată atunci când unul sau mai multe fascicule de lumină sunt întrerupte Alarmele false pot fi cauzate de deplasarea animalelor în zona controlată, ceață abundentă sau zăpadă Principiul de funcționare al unui sistem capacitiv de avertizare se bazează pe formarea unui câmp electrostatic între așa-numitele elemente de sârmă de transmisie și de recepție ale unui gard special situat în paralel Alarma se declanșează atunci când se înregistrează o anumită modificare a câmpului electrostatic, care apare atunci când o persoană se apropie de elementele gardului Alarmele false pot fi cauzate de mișcarea animalelor, vegetație, gheață pe balustrade, intemperii sau izolatori murdari Sistemele de avertizare electrică se bazează pe utilizarea unui gard special cu elemente de sârmă conductoare Criteriul de declanșare a alarmei este înregistrarea modificărilor rezistenței electrice a elementelor conductoare atunci când sunt atinse Alarmele false pot apărea din vina animalelor, a vegetației sau din cauza contaminării izolatoarelor Principiul de funcționare a sistemelor cu senzori magnetici presupune controlul parametrilor câmpului magnetic Alarma se declanșează atunci când sunt detectate distorsiuni, care sunt cauzate de apariția unor obiecte din material feromagnetic în zona de acoperire a senzorului Alarme false pot apărea din cauza modificărilor caracteristicilor solului din cauza, de exemplu, a ploii prelungite În prezența unui sistem mecanic pentru protejarea teritoriului (de exemplu, un gard situat de-a lungul perimetrului), sunt utilizate sisteme de avertizare cu senzori de vibrații; Senzori de propagare a sunetului prin solide; acustic senzori; întrerupătoare electrice, precum și sisteme cu bucle de fire electrice Senzorii de vibrații sunt fixați direct pe elementele gardului Alarma se declanșează atunci când la ieșirea senzorilor apar semnale, care sunt cauzate de vibrațiile elementelor gardului Alarme false pot apărea din cauza vântului puternic, a ploii sau a grindinii Senzorii de sunet sunt de asemenea instalați direct pe elementele gardului și controlează propagarea vibrațiilor sonore prin acestea Alarma se declanșează atunci când se înregistrează așa-numitul zgomot de atingere a elementelor gardului Alarmele false pot apărea din cauza vântului puternic, a ploii, a grindinei sau a ghețurilor care cad de pe elementele gardului În sistemele de avertizare cu senzori acustici, vibrațiile sonore transmise prin aer sunt controlate Alarma este declanșată de înregistrarea semnalelor acustice care apar atunci când se încearcă tăierea elementelor de sârmă ale gardului Alarme false pot apărea din cauza vântului puternic, ploii, grindină, diverse zgomote străine Funcționarea sistemelor cu întrerupătoare electrice se bazează pe înregistrarea unei modificări a stării întrerupătoarelor încorporate în gard, care are loc cu o modificare corespunzătoare a tensiunii elementelor de sârmă sau a sarcinii pe tuburile de ghidare ale gardului Alarmele false pot fi cauzate de vânturi foarte puternice dacă elementele gardului nu sunt tensionate suficient Dacă elementele de sârmă conductoare izolate sunt utilizate ca elemente sensibile în sistemele de avertizare, atunci alarma este declanșată atunci când aceste elemente sunt tăiate sau deformate Pot apărea declanșări false atunci când are loc o întrerupere a curentului Pentru controlul suprafețelor de sol de-a lungul perimetrului ariei protejate, se folosesc sisteme de avertizare cu senzori de sunet care se propagă prin solide, precum și cu senzori de presiune În sistemele de avertizare cu senzori de sunet se înregistrează vibrațiile sonore și seismice Alarma este declanșată la înregistrare, tremurături ale solului, cum ar fi zgomotul de impact Alarmele false pot fi cauzate de deplasarea animalelor destul de mari, traficul in apropierea zonei protejate Sistemele de avertizare cu senzori de presiune folosesc senzori de presiune pneumatici sau capacitivi, permițând înregistrarea modificărilor încărcăturii pe sol Alarma este declanșată atunci când este detectată o creștere corespunzătoare a presiunii, de exemplu șoc Alarmele false pot fi cauzate de mișcarea animalelor suficient de mari, depresurizarea senzorilor pneumatici sau coroziune O creștere a probabilității de a detecta un intrus de către un sistem de avertizare este în mod necesar însoțită de o creștere a numărului de fals pozitive Astfel, dezvoltarea sistemelor de avertizare este asociată în primul rând cu căutarea unui compromis rațional în ceea ce privește raportul dintre valorile acestor indicatori De aici rezultă că îmbunătățirea ulterioară a sistemelor de avertizare ar trebui să vizeze creșterea probabilității de detectare și reducerea intensității fals-pozitivelor prin utilizarea mai multor sisteme de avertizare cu diferite principii de funcționare într-un singur complex și utilizarea analizoarelor cu microprocesor în aceste sisteme Sisteme de identificare a intrușilor O condiție indispensabilă pentru funcționarea fiabilă a întregului complex de protecție a ariei protejate este analiza rapoartelor de intruziune primite pentru a determina cu exactitate tipul și cauzele acestora Această condiție poate fi îndeplinită prin utilizarea sistemelor de identificare Cele mai utilizate în astfel de sisteme sunt instalațiile de televiziune pentru observarea de la distanță Fără îndoială, un obiect cu posturi de securitate staționare are o securitate mai mare, dar acest lucru crește semnificativ costul protecției acestuia Deci, dacă este necesară supravegherea non-stop, este necesară munca în trei schimburi a personalului de securitate În aceste condiții, echipamentele de televiziune devin un mijloc de creștere a eficienței personalului de securitate, în primul rând la organizarea supravegherii în zone îndepărtate, periculoase sau greu accesibile În fig Întreaga zonă controlată de sistemul de identificare este delimitată în secțiuni separate cu o lungime de cel mult m, pe care este instalată cel puțin o cameră de televiziune de transmisie La declanșarea senzorilor sistemului de identificare instalați într-o anumită secțiune a zonei controlate, imaginea transmisă de camera corespunzătoare este afișată automat pe ecranul monitorului de la postul central de pază În plus, dacă este necesar, ar trebui asigurată iluminarea suplimentară a acestei zone Atenția gardianului de serviciu Orez Schema funcțională a sistemului de televiziune pentru identificarea contravenienților și a postului central de pază al unității: - camera de televiziune; - controler; - post de lucru; - modul de interfață: - mijloace de comunicare și control; - stație de lucru de rezervă; - alimentare de urgență; - imprimanta; - interfata radio Porecla trebuie adusă în imaginea afișată cât mai curând posibil Cauzele reale ale alarmei în multe cazuri pot fi identificate numai dacă agentul de pază de serviciu este suficient de prompt Această prevedere are loc, în primul rând, cu încercări efective de invadare a ariei protejate și acțiuni deliberate înșelătoare ale intrușilor Una dintre modalitățile promițătoare de a îndeplini condiția formulată anterior este utilizarea unui dispozitiv de memorie video care oferă înregistrarea automată a imaginii imediat după declanșarea alarmei În același timp, gardianului de serviciu i se oferă posibilitatea de a afișa primele cadre ale imaginii de pe dispozitivul de memorie pe ecranul monitorului și de a identifica cauza declanșării senzorilor sistemului de avertizare Într-o serie de sisteme de supraveghere de televiziune se folosesc camere de transmisie, a căror orientare poate fi schimbată de la distanță de către paznicul de serviciu Când alarma este activată, ofițerul de securitate trebuie să orienteze camera către zona în care s-au declanșat senzorii sistemului de avertizare Cu toate acestea, experiența practică arată că astfel de televizoare sunt mai puțin eficiente eficient în comparație cu camerele de televiziune cu transmisie orientate rigid O trăsătură distinctivă a unor obiecte este întinderea lor mare Un număr mare de locații ale unor astfel de instalații pot fi situate la o distanță considerabilă unele de altele, ceea ce crește serios costul instalării și funcționării echipamentului În aceste cazuri, puteți utiliza un sistem de televiziune low-frame, cum ar fi Slowscan Funcționează pe distanțe lungi, este ieftin și este compatibil cu orice sistem CCTV existent deja instalat la fața locului Sistemul folosește rețeaua publică de telefonie pentru a transmite cadre video și comenzi Camerele de pe dispozitivele cuplate cu încărcare (CCD) au avantaje deosebite în sistemele de securitate În comparație cu camerele CRT convenționale, acestea sunt mai mici, mai fiabile, necesită întreținere mică sau deloc, funcționează bine în condiții de lumină scăzută și au sensibilitate la infraroșu Cel mai important lucru este că informațiile video despre elementul sensibil al unei astfel de camere sunt prezentate imediat în formă digitală și sunt potrivite pentru prelucrare ulterioară fără transformări suplimentare Acest lucru face posibilă identificarea cu ușurință a diferențelor sau modificărilor elementelor de imagine, pentru a implementa un senzor de mișcare încorporat în cameră O astfel de cameră cu un detector încorporat și un iluminator cu infraroșu de putere redusă poate monitoriza o zonă protejată și, dacă apare un intrus în câmpul vizual, poate recunoaște modificările elementelor de imagine și poate suna o alarmă Iluminatul de securitate este o parte obligatorie a unui sistem complex de protecție pentru orice tip de obiecte Există două tipuri de iluminat de securitate: de serviciu (sau permanent) și de alarmă Iluminatul de urgență este destinat utilizării permanente, continue în timpul orelor nelucrătoare, seara și noaptea, atât pe teritoriul instalației, cât și în interiorul clădirilor Iluminatul de serviciu este echipat cu calculul uniformității sale în întreg spațiul zonelor protejate ale unității Pentru iluminatul de securitate de serviciu, se folosesc lămpi obișnuite stradale (în afara clădirii) și de tavan (în interiorul clădirii) La punctul de securitate al unității ar trebui să existe un întrerupător pentru pornirea iluminatului extern de urgență sau un dispozitiv pentru pornirea automată a iluminatului extern la începutul întunericului Iluminatul de alarmă este pornit de către personalul de securitate manual sau automat atunci când un semnal de alarmă este primit de la sistem sisteme de alarma Dacă iluminarea de alarmă este situată de-a lungul perimetrului teritoriului, atunci lămpile pot fi aprinse ca răspuns la o alarmă fie numai în locul de unde a venit alarma, fie de-a lungul întregului perimetru al teritoriului Pentru iluminatul de urgență se utilizează de obicei un proiector de mare putere sau mai multe proiectoare de putere medie (până la W) La fel ca și sistemul de alarmă, iluminatul de urgență trebuie să aibă o sursă de alimentare de rezervă în cazul unui accident sau al unei pene de curent Cea mai obișnuită modalitate de a rezerva iluminatul de urgență este instalarea corpurilor de iluminat cu propriile baterii Astfel de lămpi sunt conectate în mod constant la rețea (pentru reîncărcarea bateriilor), iar în caz de accident, se aprind automat din propria baterie Protecția mecanică a obiectului La baza oricărui sistem de protecție mecanică se află elementele mecanice sau de construcție care creează un adevărat obstacol fizic pentru o persoană care încearcă să intre într-o zonă protejată Cea mai importantă caracteristică a unui sistem de protecție mecanică este timpul de rezistență - timpul necesar unui atacator pentru a depăși sistemul de protecție mecanică Pe baza valorii cerute a caracteristicii denumite, trebuie făcută și alegerea tipului de sistem de protecție mecanică Schema funcțională a protecției mecanice a obiectului este prezentată în fig De regulă, pereții și gardurile servesc ca elemente mecanice sau de construcție Acolo unde condițiile permit, pot fi folosite șanțuri și garduri de sârmă ghimpată Astfel de elemente pot fi combinate în diferite combinații într-un singur sistem de protecție mecanică În prezent, la locurile importante protejate se folosesc sisteme de protecție mecanică cu triplu împrejmuire, elemente speciale care îngreunează cățărarea peste garduri și utilizarea unor spire de sârmă ghimpată în formă de S Orez Schema funcțională a sistemului de protecție mecanică a obiectului: - transceiver; - controler La utilizarea sistemelor de protecție mecanică cu mai multe rânduri, este recomandabil să amplasați senzori de avertizare a intruziunii între gardurile interioare și exterioare În acest caz, gardul interior ar trebui să aibă un timp de rezistență crescut Pentru a monitoriza zonele zonelor protejate, Multisafe AG a dezvoltat sistemul de avertizare Multiplain, ai cărui senzori funcționează pe principiul înregistrării unei diferențe de presiune Senzorul este format din două corpuri goale cu exces de presiune, care sunt interconectate printr-un traductor special de diferență de presiune Dacă chiar și o mică diferență de presiune apare în aceste corpuri, în convertor este activat un contact prin care circuitul de comutare a alarmei poate fi comutat Când utilizați senzorul specificat, este suficient să localizați pur și simplu zona în care s-a declanșat elementul sensibil În plus, emițătorul este echipat cu un dispozitiv automat de recuperare a punctului zero, care împiedică declanșarea contactului de modificări lente ale presiunii, care pot fi cauzate de diverse influențe perturbatoare, cum ar fi fluctuațiile de temperatură Senzorul este, de asemenea, insensibil la fluctuațiile și vibrațiile cauzate de traficul rutier sau feroviar Partea sensibilă a dispozitivului luată în considerare este realizată structural sub forma unui set de covoare speciale care pot fi instalate sub un strat de pietriș, gazon, pământ sau sub plăcile potecilor Contactele din convertoare sunt activate atunci când sarcina se modifică cu cel puțin kgf Astfel, sistemul de avertizare nu răspunde la deplasarea animalelor mici în zona controlată Preîncărcarea datorată stratului de camuflaj al covorașelor poate ajunge la kgf/m fără a le afecta sensibilitatea Pentru prevenirea pătrunderii în zona protejată se folosesc sisteme defensive, în care se folosesc instalații de iluminat sau sonorizare Un subiect care încearcă să intre într-o zonă protejată este informat că a fost depistat de gardieni Astfel, asupra lui se exercită un impact psihologic intenționat În plus, utilizarea instalațiilor de iluminat asigură condiții favorabile pentru activitățile de securitate Schema funcțională a sistemului de apărare de protecție a obiectului este prezentată în fig Pentru reținerea infractorului, gardienii iau măsuri operaționale corespunzătoare sau cheamă poliția (poliția) Dacă intrusul a reușit să scape, atunci pentru succesul investigației ulterioare devin importante informațiile care pot fi obținute folosind sistemul de identificare considerat anterior Orez Schema funcțională a sistemului defensiv pentru protejarea obiectului: - controler; - produse afumate; - arme; - difuzoare; - sirene În cazuri speciale, funcțiile sistemului de apărare sunt îndeplinite de un gard special prin care trece un curent de înaltă tensiune Încuietorile mecanice și electrice fac parte din sistemul de securitate mecanică al unității O încuietoare mecanică este un mijloc optim de a împiedica accesul într-o clădire (încăpere) ocupată de o organizație mică sau vizitată de un număr mic de persoane al oamenilor Este convenabil, economic și oferă nivelul necesar de protecție pentru o cameră sau obiect Atunci când alegeți modelul de lacăt necesar, trebuie să luați în considerare în primul rând condițiile de funcționare și nivelul de protecție necesar Există multe încuietori de înaltă securitate, lacăte care pot fi instalate în locuri care necesită protecție suplimentară (la porți, depozite etc ) Gestionarea cheilor este cheia pentru funcționarea corectă a dispozitivelor de blocare, care este cel mai important aspect al securității Fără un management eficient al cheilor, chiar și cea mai sigură lacăt își pierde capacitatea de a oferi securitate Urmărirea cercului de persoane care au acces la anumite spații și stocarea informațiilor despre care și care angajați au cheile, poate fi la fel de ușoară ca și întreținerea unui dulap obișnuit Există programe pentru computerele personale care vă permit să păstrați informații despre disponibilitatea cheilor de la angajați Adevărat, corespondența acestor informații cu realitatea ar trebui monitorizată periodic Supapa de blocare electrică este controlată manual prin apăsarea butoanelor sau automat Pentru a debloca o ușă cu încuietori cu butoane (tastatură), trebuie introdus codul alfanumeric corect O tastatură în combinație cu o încuietoare electrică este denumită în mod obișnuit controlul accesului fără cheie Dezavantajul sistemelor cu butoane este capacitatea de a identifica codul aruncând o privire prin setul său, analizând zgârieturile și murdăria de pe butoane etc Schema funcțională și tipurile de dispozitive electromecanice, sisteme de control acces pentru un obiect împrejmuit sunt prezentate în fig În sistemele de securitate îmbunătățită, tastatura poate fi completată cu un sistem de citire de carduri Lipsa sistemelor Orez Diagrama funcțională și tipurile de dispozitive electromecanice ale sistemului de control al accesului pentru un obiect împrejmuit: - controler radio controlul accesului cardului este posibilitatea pierderii, furtului, transferului către o altă persoană O alternativă la sistemele de control al accesului cu carduri sunt sistemele cu așa-numitele chei electronice Sistemele de acest tip sunt instalate în sute de clădiri de birouri și hoteluri din întreaga lume Aceștia funcționează pe principiul percepției codului printr-un dispozitiv optic cu infraroșu Codul scris în cheie este o succesiune de găuri perforate în metal Principalele avantaje ale cheilor electronice sunt costul redus, durabilitatea, confortul și ușurința în utilizare Canalele de comunicație în sistemul de alarmă de securitate pot fi linii de cablu special așezate, linii telefonice ale obiectului, linii telegrafice și comunicații radio Cele mai comune canale de comunicație sunt cablurile ecranate multi-core, care sunt plasate în țevi metalice sau din plastic sau în manșoane metalice pentru a crește fiabilitatea și siguranța operațiunii de semnalizare Alimentarea cu energie a sistemului de alarmă de securitate trebuie să fie asigurată, apoi în cazul defectării acestuia, funcționarea alarmei nu se oprește din cauza conectării automate a unei surse de alimentare de rezervă (de urgență) Automatizarea controlului tehnic al protecției fluxurilor de informații Automatizarea controlului tehnic asupra protecției fluxurilor de informații și a obiectului este asigurată de sistemul de control acces și organizarea unui sistem automat de control al accesului (ASKD) Atunci când alegeți un sistem de control acces, se recomandă: • determinarea numărului de puncte de control necesare în funcție de numărul de angajați care trec prin acestea și care trebuie verificate cât mai repede posibil în timpul traficului de vârf; • Evaluează gradul de securitate necesar pentru organizație Acesta poate fi mărit, de exemplu, prin completarea cititorului de carduri cu mijloace pentru introducerea unui cod personal; • asigurarea mijloacelor de ieșire de urgență; • Estimați bugetul necesar pentru achiziționarea, instalarea și operarea unui sistem de control acces Atunci când alegeți o opțiune de sistem, împreună cu o evaluare a nivelului necesar de securitate și a costurilor în comparație cu sarcinile de control al accesului în curs de rezolvare, este important să vă asigurați că sistemul este suficient de simplu de operat, are flexibilitatea necesară la schimbare cerinţele pentru aceasta, că poate fi extins fără a pierde ceea ce sa făcut Atunci când alegeți un sistem, este de dorit să priviți cu cel puțin doi ani înainte Se recomandă conducerii organizației să opteze pentru sistemul, al cărui principiu de funcționare îi este clar De asemenea, trebuie luate în considerare nivelul de întreținere și reputația producătorului și furnizorului de echipamente Munca ASKD-ului modern se bazează pe analiza documentelor de identificare Recent, ASOD-urile bancare au început să folosească sisteme electronice de plată bazate pe carduri de identificare din plastic (PIC), care mai sunt numite și carduri de credit, carduri inteligente sau bani de plastic PIC-urile sunt destinate interacțiunii umane cu ASOD, prin urmare pot fi definite ca hardware ASOD sub forma unui card de plastic dreptunghiular, conceput pentru a identifica subiectul sistemului și este un purtător de informații de identificare și alte informații Un document de identificare tipic are o structură în straturi și dimensiuni similare cu formatul standard al cardului de credit Suportul de informații de identificare este amplasat între două folii de plastic de protecție În ASKD modern, cardurile magnetice sunt utilizate pe scară largă, în care purtătorul de informații de identificare este o bandă de material magnetizat Trebuie remarcat însă că astfel de documente nu au un grad ridicat de securitate împotriva tentativelor de falsificare a acestora Utilizarea unei metode de codare holografică face posibilă atingerea unui nivel sporit de protecție a documentelor de identificare împotriva falsificării sau falsificării Trecerile de acest tip conțin holograme, care sunt o înregistrare efect de interferență între două sau mai multe câmpuri coerente Hologramele tridimensionale vă permit să înregistrați cu densitate mare informațiile conținute în imagine Se pot înregistra până la un milion de biți de informații pe mm de hologramă Identificarea practica a utilizatorilor consta in stabilirea si atribuirea fiecarui utilizator ASOD a unui identificator (semn) unic sub forma unui numar, cifru, cod etc Acest lucru se datorează faptului că identificatorul tradițional al formei nume de familie - prenume - patronimic nu este întotdeauna acceptabil, fie doar din cauza posibilelor repetări și binecunoscute Prin urmare, în diferite sisteme automatizate, un număr de identificare personală (cod PIN) este utilizat pe scară largă Orice PIK este utilizat ca purtător de informații necesare identificării și informații utilizate în alte scopuri Aceste informații sunt prezentate sub diferite forme: grafică, simbolică, alfanumerice, codificată, binară Multe forme de prezentare a informațiilor pe PIK sunt explicate prin faptul că cardul servește ca un fel de legătură între o persoană (utilizator) și un sistem de mașină, care sunt caracterizate prin diferite forme de prezentare a informațiilor De exemplu, pe card sunt aplicate grafic un logo special, un desen, o fotografie, numele proprietarului, numărul de serie, data expirării, codul de bare etc Sigla este un simbol grafic al organizației care emite cardul Acesta servește ca un fel de marcă de serviciu, adică o denumire care face posibilă distingerea serviciilor unei organizații de serviciile omogene ale unei alte organizații Este evident că logo-ul trebuie să fie distinctiv și să nu repete denumiri comune (steme, steaguri etc ) Pentru a asigura securitatea, imaginea, inclusiv holografică sau vizibilă doar în raze infraroșii, este aplicată pe echipamente speciale, ceea ce complică foarte mult contrafacerea cardului Un alt mijloc de creștere a securității informațiilor vizuale este gofrarea, sau extrudarea (embosare), a unora dintre caracteristicile de identificare ale utilizatorului pe suprafața unui card de identificare (IC) Aceste caracteristici cu ajutorul unui dispozitiv special (imprinter) pot fi tipărite și duplicate pe hârtie (slip) pentru contabilizare ulterioară În prezent, cardurile magnetice, semiconductoare și optice sunt utilizate pe scară largă (enumerate în ordinea descrescătoare a prevalenței) Putem distinge în mod condiționat trei domenii de aplicare a PIC: ) documente electronice; ) sisteme de control și înregistrare; ) sisteme electronice de plată Cardurile ca mijloc de control, diferențiere și înregistrare a accesului la obiecte, dispozitive, resurse informaționale ASOD sunt utilizate în crearea sistemelor de securitate de control și înregistrare De exemplu, sunt cunoscute diverse încuietori electronice pentru încăperi și echipamente Diferențierea accesului la datele PC este implementată la nivelul prezentării unui card cu cheie care conține datele de identificare ale utilizatorului și cheia electronică a acestuia Cel mai simplu proces este producerea așa-numitelor holograme imprimate și în relief, care pot fi aplicate documentelor de identificare existente Tehnologia de obținere a hologramelor reflexe este mai complexă, ceea ce determină gradul sporit de securitate a documentelor oferit de acestea în urma încercărilor de contrafăcut În ultimii ani, amploarea aplicării în diferite sisteme de control al accesului de trecere cu circuite integrate (IC) încorporate a crescut considerabil Utilizarea insignelor IC face posibilă efectuarea controlului accesului cu un nivel ridicat de fiabilitate, dar costul unor astfel de documente este încă semnificativ mai mare decât cardurile cu bandă magnetică Un dezavantaj semnificativ al multor sisteme de control al accesului de acest tip este că atunci când intră pe teritoriul unui obiect sau părăsește teritoriul acestuia, proprietarul permisului trebuie de fiecare dată să scoată documentul din buzunar și să-l aducă mai aproape de cititor În ultimii ani au fost dezvoltate sisteme fără contact mai avansate în care distanța dintre trecere și cititor este de cm În prezent, sunt produse mai multe tipuri de sisteme fără contact aflate în considerare În unele dintre ele, pe lângă dispozitivele periferice de citire, este utilizată și o unitate centrală, care realizează procedurile de bază pentru verificarea drepturilor de acces la obiectul protejat al purtătorului trecerii și generează semnale pentru controlul mecanismelor de blocare a trecerii În bănci și alte organizații cu cerințe de securitate crescute, sistemele biometrice de control al accesului devin din ce în ce mai răspândite, ceea ce se poate explica prin scăderea costului acestora În numărul de sisteme biometrice Accesul include sisteme de verificare pentru forma mâinii, palma, modelul pielii degetelor, retină, dinamica semnăturii și voce Toate sistemele biometrice se caracterizează printr-un nivel ridicat de securitate, în primul rând pentru că datele folosite în ele nu pot fi pierdute de utilizator, furate sau copiate Datorită principiului lor de funcționare, sistemele biometrice se caracterizează prin viteză redusă și debit redus Cu toate acestea, ele reprezintă singura soluție la problema controlului accesului la facilități de mare valoare, cu personal redus La întreprinderile mari, este nevoie de ASKD integrat Un astfel de ASKD poate conecta împreună cititoare de carduri și dispozitive de acces prin buton cu sisteme de incendiu și alarmă și sisteme de televiziune cu circuit închis Multe ASKD vă permit să imprimați înregistrări pentru fiecare alarmă, precum și să colectați date privind timpul vizitelor în sediu de către angajați, despre intrările permise în sediu, despre încercările de intrare neautorizate, despre alarmele primite și confirmarea acestora Un exemplu de soluție cuprinzătoare pentru protecția securității și controlul accesului este sistemul de securitate MIKKOM AS Acest sistem este un sistem autonom computerizat și este conceput pentru a proteja împotriva accesului neautorizat la spațiile de producție și service ale obiectelor protejate Este o nouă generație de produse în acest scop și se distinge prin funcționalitate îmbunătățită: funcționarea sistemului poate fi controlată de la dispozitivele periferice cu coduri folosind carduri electronice individuale de utilizator, este oferită o afișare grafică a planului instalației, capabilități îmbunătățite de service ale protocoalelor sistemului și baze de date sunt furnizate, iar fiabilitatea sistemului este semnificativ crescută Sistemul oferă: ) emiterea automată de mesaje despre încercări neautorizate de a pătrunde în obiecte protejate, încercări de furt din dulapuri și seifuri dotate cu senzori de alarmă intrusion, incendii în încăperi dotate cu senzori de alarmă de incendiu; ) citirea informațiilor de la senzori de diferite tipuri (de contact, infraroșu, inginerie radio etc ) Numărul de senzori deserviți de sistem, în funcție de natura obiectului protejat, poate fi de la la mii; ) armarea și dezarmarea automată a zonelor individuale (porți, încăperi, coridoare, garaje etc ) din consola centrală; ) armarea și dezarmarea automată a localurilor individuale conform codurilor individuale de utilizator (folosind carduri individuale) cu înregistrarea codului, nume complet titularul cardului, ora și locul; ) transmiterea automată a comenzilor către dispozitivele executive externe (deblocarea încuietorilor, pornirea camerelor video, sirenelor etc ); ) organizarea unui sistem de acces la spațiile închise (deblocarea lacătelor) conform cardurilor individuale ale proprietarilor; ) apel de urgență al serviciului de securitate la sediul unității; ) afișarea automată a informațiilor pe afișajul operatorului, inclusiv un plan grafic al unității protejate care indică locația senzorilor instalați și dezarmați, locul de penetrare a intrusului (sau încercarea acestuia), defecțiunea nodurilor individuale ale sistemului, etc ; ) înregistrarea, stocarea, vizualizarea și imprimarea tuturor informațiilor (ora la care o anumită zonă a fost armată, ora și locul încălcării, ora și locul ieșirii din starea de funcționare a senzorilor, informații despre activitatea operatorului, etc ); ) monitorizarea automată continuă a stării de funcționare a senzorilor și nodurilor sistemului, detectarea automată a încercărilor de deschidere neautorizate, deteriorarea liniilor de comunicație; ) alimentarea autonomă a tuturor unităților periferice ale sistemului, inclusiv senzorii consumatoare de energie Datorită structurii sale modulare și flexibilității software, sistemul poate fi utilizat pentru a proteja o clasă largă de obiecte care diferă în ceea ce privește locația și numărul de zone protejate, numărul și tipul de senzori utilizați, setul necesar de funcții de serviciu, poate, de asemenea, combina funcțiile de securitate și alarme de incendiu etc Structura de bază a sistemului include: • panou de control central (CPU) bazat pe PC IVM RS cu imprimanta - buc ; • sursă de alimentare și unitate de procesare a semnalului (BPOS) - buc ; • unitatea de compresie (CU) a semnalelor senzorilor - de la la biți; • dispozitive de introducere a codurilor (UVK) din carduri individuale - de la la buc ; • mijloace de detectare (senzori de contact și fără contact) - de la la bucăți; • linii de colectare/transmisie a datelor cu patru fire și sursă de alimentare - de la la Dacă este necesar, sistemul poate fi completat cu repetoare pentru a mări lungimea liniilor de comunicație Sistemul îndeplinește cerințele standardelor Comisiei Electrotehnice Internaționale și ale GOST interne relevante Sistemul este alimentat de la o rețea industrială AC cu o tensiune de V ( %), o frecvență de Hz (este permisă alimentarea de la o rețea cu o frecvență de Hz) Este prevăzută utilizarea unei unități de alimentare neîntreruptibilă (UPS), care asigură trecerea automată la alimentarea de rezervă atunci când întrerupe alimentarea principală și invers Intervalul de temperatură de funcționare a nodurilor de sistem: • CPU, BPOS: + + °С; BU, UVK: - + °С Software-ul specializat vă permite să creați baze de date despre configurația obiectului protejat, locația senzorilor și a zonelor de securitate, lista utilizatorilor sistemului - proprietari de carduri individuale cu codurile lor individuale și puterile de a seta și dezarma anumite zone sau de a intra în anumite zone închise sediul Dacă este necesar, sistemul poate fi completat cu hardware și software care permit: • afișarea grafică a planului unității cu defalcare pe etaje și indicarea spațiilor protejate și dezarmate, precum și a senzorilor declanșați și a zonelor protejate; • analiza bazelor de date ale utilizatorilor; • procesează informații din protocolul de sistem Software-ul vă permite să creați sau să corectați configurația unui obiect, bază de date, plan grafic fără implicarea specialiștilor producătorului Mijloacele tehnice de protecție trebuie să fie certificate În Rusia, în prezent, certificatele Comisiei Tehnice de Stat sub președintele Federației Ruse au următoarele mijloace: • un dispozitiv pentru protejarea informațiilor împotriva interceptării din cauza radiațiilor care apar atunci când sunt afișate pe un afișaj al computerului (cod "Salyut"), dezvoltat de întreprinderea de stat de cercetare și producție "Gamma" și firma "Krypton"; • finalizarea tehnică a PC-ului în vederea reducerii nivelului de radiații electromagnetice parasite și de captare (PEMIN), produs de Centrul Științific de Cercetare și Producție; • finalizarea tehnică a PC-ului în vederea reducerii nivelului PEMIN, realizată de Societatea pe acțiuni "Parteneriatul științific rus"; • mijloace de protecție activă - un generator de zgomot cu un interval de frecvență de la , la MHz (cod "GSh- "), dezvoltat de Institutul Central de Cercetare de Inginerie Mecanică al Asociației Comerciale Ruse; • mijloace de protecție activă (cod "GSh-K- "), dezvoltate de un birou special de proiectare al Institutului de Radio Electronică al Academiei Ruse de Științe; • dispozitiv de protecție pentru suprimarea semnalelor periculoase în rețelele de alimentare monofazate și trifazate (cod "FSPK- ( )"), dezvoltat de întreprinderea de cercetare și producție "Elkom"; • dispozitiv de protecție împotriva interceptării cu urechea localului printr-un aparat telefonic în regim de apel (cod "UZT"), dezvoltat de societatea cu răspundere limitată "LiK Enterprise"; • dispozitiv de protecție împotriva interceptării camerelor prin intermediul unui aparat telefonic (RA ) (cod "Korund"), dezvoltat de societatea cu răspundere limitată "RENOM"; • sistem de supraveghere televizată (cod "Vikont"), dezvoltat de asociația de cercetare și producție "Alfa-Pribor"; • Dispozitiv de protecție PC împotriva interceptării PEMIN a instalațiilor informatice din categoria a -a și a -a în domeniul de frecvență MHz (ITSV, - TU) (cod "Salyut"), dezvoltat de "Krypton" Abordări cuprinzătoare și sistematice pentru asigurarea securității informațiilor obiectelor, mijloacelor tehnice și persoanelor Metodologia și conținutul asigurării securității informațiilor cu o abordare integrată și sistematică În subsecțiunea , s-a avut în vedere abordarea obiect a problemei securității informaționale a activităților obiectelor și părților individuale, precum și aspectele tehnice, organizatorice și metodologice ale implementării protecției proceselor de prelucrare a informațiilor În practică, procesele de asigurare a securității informațiilor pentru activitățile întreprinderilor trebuie considerate mult mai larg, întrucât activitățile echipei întreprinderii se extind atât la sfera internă a interacțiunilor pur de producție, cât și la cea externă, care include interacțiunile informaționale și psihologice în piață, viața socială și publică de natură personală și corporativă într-un domeniu informațional în continuă mișcare Aceasta impune anumite cerințe metodologiei de luare în considerare a proceselor de asigurare a securității informațiilor pe întreaga viață a unei echipe, companie, regiune, stat Să luăm în considerare condițiile pentru o abordare cuprinzătoare și sistematică a organizării securității informațiilor pentru funcționarea unei întreprinderi Una dintre opțiunile de implementare a acestei abordări este tehnologiile de securitate a informațiilor pentru obiecte, mijloace tehnice și persoane ale Petrovka-R LLC a Asociației de Securitate Petrovka În funcție de cerințele privind nivelul de protecție a obiectului, se folosesc diverse mijloace de blocare și control al canalelor scurgeri de informații Există trei niveluri de măsuri pentru protejarea informațiilor: suficiente (necesare), sporite și marginale Cu o abordare integrată, lista și conținutul lucrărilor și activităților pentru organizarea acestora pot fi prezentate în forma următoare Cercetarea și analizarea posibilelor canale tehnice pentru scurgerea de informații cu acces limitat din incinta alocată în instalație Dezvoltarea modelelor de accesibilitate pentru obiectele protejate pentru pătrunderea tehnică a informațiilor restricționate Efectuarea de lucrări practice privind detectarea: • mijloace radio-emițătoare de achiziție secretă de informații (SNPI); • SNPI instalat pe liniile de comunicații telefonice; • SNPI folosind diverse comunicații prin cablu pentru transferul de informații; • SNIR care funcționează în domeniul de lungimi de undă în infraroșu; • CSIS care nu funcționează la momentul auditului (expirat sau controlat de la distanță); • SNPI complex care funcționează în modul de modulare delta adaptivă (ADM) cu o întârziere a semnalului, cu amestecul unui flux digital pseudo-aleatoriu (detecția este realizată de complexul hardware-software Poisk- folosind principiul recepției diversitate cu elemente de inteligență artificială și echipamente pentru sondarea radar subterană "Rascan- " cu afișarea unei imagini a stării interne a suprafețelor examinate (pereți, tavane etc ) pe un monitor de computer); • canale acustice, vibroacustice și alte canale tehnice de scurgere a informațiilor de vorbire (prin pereții adiacenți, ferestre, prin sistemele de încălzire și ventilație centrală); • precum şi îndepărtarea informaţiilor prin vibrarea ochelarilor cu ajutorul mijloacelor laser de obţinere a informaţiilor în secret La efectuarea unor astfel de lucrări, gardurile structurale ale incintei (pardoseală, tavan, pereți), mobilier, articole interioare, comunicații prin cablu de intrare și ieșire și dispozitivele terminale ale acestora (rețea electrică, linii telefonice, sisteme de securitate și alarmă de incendiu, ceas unificat, etc ) ), echipamente de birou, echipamente audio și video de uz casnic, cadouri și suveniruri, alte echipamente tehnice instalate sau depozitate în incintă Efectuarea de lucrări de căutare a CSIR în autovehiculele organizației și ale angajaților acesteia Controlul aerului radio în timpul întâlnirilor și negocierilor importante purtate de întreprindere în vederea identificării faptelor de scurgere de informații pe canalul radio Implementarea verificărilor hardware, inclusiv a metodelor de testare neliniară și a metodelor de testare nedistructive (radar de subterană, fluoroscopie): • mijloace tehnice instalate în incinta obiectului, pentru prezența SNIR sau a canalelor de scurgere de informații în acestea; • cabluri de comunicații, telefoane, calculatoare și alte echipamente de uz casnic și de birou pentru prezența PEMIN, creând posibilitatea scurgerii informațiilor prelucrate sau transmise cu acces limitat Efectuarea lucrărilor de eliminare a canalelor tehnice identificate de scurgere de informații: • punerea în paragină a SNIR-ului instalat pe liniile telefonice în afara sediului (în zona clădirii-ATS); • suprimarea sau distrugerea înregistrării magnetice și a altor echipamente electronice ale presupusului inamic; • protecția telefoanelor împotriva scurgerii de informații despre vorbire atunci când receptorul este cuplat; • protecția canalelor de comunicații telefonice și fax deschise: a) prin criptarea informațiilor de către echipamentul Panorama conform legii numerelor aleatorii (lungimea cheii de sesiune - de biți) și o cheie suplimentară de șapte cifre pentru identificarea abonatului (număr total de combinații) - x ІО ); b) prin criptarea informațiilor cu echipamente cu putere criptografică garantată (acest dispozitiv folosește un algoritm neliniar de cea mai mare complexitate; numărul total de combinații este de x ); • protecția rețelelor de iluminat și electrice de utilizarea SNPI care funcționează pe acestea; • protecția dispozitivelor terminale ale sistemelor de radiodifuziune, notificări, ceas unificat etc ; • protecția instalațiilor EWT (calculatoare personale și rețele locale de calculatoare) împotriva scurgerii de informații prelucrate din cauza radiațiilor electromagnetice false; • protecția rețelelor de calculatoare prin echipamente cu putere criptografică garantată (algoritm neliniar de cea mai mare complexitate: cheie pe termen lung - variante ІО , cheie unică (Markant) - variante ІО ); • protecția informațiilor textuale cu ajutorul unui encoder portabil (la criptare se folosește un algoritm neliniar de cea mai mare complexitate: cheie pe termen lung - variante ІО , cheie Markant - variante ІО ); • protecția fișierelor computerului printr-un pachet software (fișierul nu este vizibil în catalog și meniu, este stocat pe hard disk în formă criptată - un algoritm neliniar de cea mai mare complexitate, se folosește un sistem de parole) Atenție: dacă parola este pierdută, deschiderea acestui fișier nu este posibilă și discul va trebui reformatat; • transmiterea și recepția de e-mail în rețelele locale corporative și pe Internet în formă criptată atât pe teritoriul Federației Ruse, cât și în străinătate, folosind un pachet software cu putere criptografică garantată (lungimea cheii criptografice este de de biți, lungimea a cheilor publice și private pentru generarea unei chei de sesiune este de biți); • protecția pereților, tavanului, pardoselii, ferestrelor, sistemelor de încălzire și ventilație centrală de eventuala preluare a informațiilor de vorbire prin canalul vibroacustic; • protecția spațiilor împotriva interceptării, realizată cu ajutorul mijloacelor laser de obținere a informațiilor în secret Instalarea echipamentelor speciale în incintă: • mijloace de semnalizare şi sisteme de informare cu privire la prezenţa SNIR radio-emiţătoare de funcţionare în incintă; • semnalizare înseamnă informarea cu privire la instalarea SNPI pe liniile de comunicații telefonice despre conectarea neautorizată la liniile telefonice; • mijloace de blocare a funcționării normale a CSIR, atunci când se încearcă utilizarea lor pe liniile telefonice; • generatoare de interferenţe radioacustice şi vibroacustice; • mijloace și sisteme de detecție, înregistratoare de voce care funcționează discret (sau neutralizarea acestora); • Distrugerea bazei elementului SNPI, a înregistratoarelor de voce etc Dezvoltarea unor măsuri organizatorice și tehnice pentru a preveni pe viitor apariția unor canale tehnice pentru scurgerea de informații cu acces limitat Efectuarea controalelor preventive periodice la spații pentru prezența SNIR-ului adus Instruire în practică pentru angajații firmelor și ai serviciilor de securitate pentru a lucra cu mijloace specifice Întocmirea listelor de mijloace tehnice speciale recomandate pentru detectarea și protecția împotriva SNIR pentru echiparea firmelor și a serviciilor de securitate Asistenta in achizitia de echipamente tehnice si consiliere in aplicarea acestora Furnizarea de servicii persoanelor fizice pentru a le proteja de impactul energiei-informații pentru a lua decizii impuse și extorcare Conectarea și instalarea unui complex de supraveghere video la distanță și control asupra liniilor telefonice Complexul vă permite să observați și să controlați vizual obiectul dorit (chiar și aparatele de uz casnic) de oriunde în lume, transmițând informații prin liniile de comunicații telefonice convenționale Aparatul este conectat la un televizor, telefon, senzori și dispozitive electrice, apoi conectat la o linie telefonică standard Sistemul vă informează că nu totul este în ordine în zona protejată, chiar dacă sunteți departe Dotari institutii, birouri, apartamente, cabane, masini ale clientilor cu cel mai modern sistem de monitorizare video cu sistem de transmisie video de dimensiuni reduse si compact Metode avansate de compresie a informațiilor asigură transmiterea semnalului video pe canalele celulare GSM (sau pe o linie telefonică convențională) Utilizarea acestui sistem vă permite să transmiteți informații video în timp real din orice punct îndepărtat de pe planetă către un punct de control staționar sau mobil Acest sistem vă permite să vă îngrijiți proprietatea, să observați zonele greu accesibile din zonă și chiar să gestionați munca zilnică prin afișarea imaginii pe un monitor de computer, laptop sau televizor obișnuit atât în punctele de observare staționare, cât și într-o mașină Dotarea mașinilor, birourilor, clădirilor și structurilor, precum și dotarea persoanelor cu echipamente de suprimare a siguranțelor radio pentru prevenirea actelor teroriste Implementarea sistemului de protecție a proceselor de prelucrare a informațiilor la obiectele individuale ale sistemelor de management al informațiilor Pentru a proteja liniile telefonice de interceptări, Asociația de Securitate Petrovka oferă un set de instrumente hardware și software pentru proiectele Fog, Panorama și Univers de următoarele tipuri Protecția liniilor telefonice de la ascultare în zona de la abonat la mini-PBX ("Ceață A-MTS- ") Acest sistem asigură protecția liniilor telefonice din zona de la abonat la mini-PBX împotriva interceptării cu ajutorul dispozitivelor neautorizate de preluare a informațiilor de orice tip (de contact și fără contact), precum și a instalațiilor de înregistrare magnetică conectate și a telefoanelor paralele Protecția este asigurată de Proteja Orez Diagrama structurală a sistemului Fog A-MTS- prin furnizarea unui semnal de zgomot în afara benzii liniei, care împiedică funcționarea dispozitivelor de interceptare De asemenea, previne interceptarea camerei prin exploatarea efectului de microfon al telefoanelor și a interferențelor de înaltă frecvență Sistemul Fog A-MTS- funcționează conform schemei bloc prezentată în fig Caracteristicile distinctive ale acestui sistem: • automatizarea completă a controlului și suprimării liniilor (microprocesor încorporat); • este permisă controlul de la distanță a generatorului printr-un semnal DTMF cu ton codificat de la un telefon protejat; • "modul watchdog" - monitorizarea constantă a tensiunii liniei telefonice și informarea cu privire la conexiunea prin sunet, inclusiv în receptor, și semnale luminoase; • reglarea digitală a nivelului de zgomot în linia telefonică Dacă există un telefon în rețeaua mini-PBX, linia este protejată Rețelele PBX Principalele caracteristici tehnice ale sistemului "Ceata A-MTS- " Interval de interferență în deconectare (la o frecvență de kHz): nivelul de zgomot pe rezistența liniei ohmi Nu mai puțin de dBm reglarea nivelului de zgomot dB Interval de interferență cu priză (la o frecvență de , kHz): nivelul de zgomot pe rezistența liniei ohmi dBm sau mai mult Tensiunea de linie este monitorizată în intervalul V Dimensiuni totale x x mm Nutriție: de la rețeaua de curent alternativ V de la o sursă DC V Dispozitivul de protectie si filtrul special sunt certificate Protecția liniilor telefonice de la ascultarea în zonă de la abonat la mini-ATS și de la mini-ATS la PS ("Ceata A-MTS-GTS- ") Acest sistem oferă protecție pentru liniile telefonice pornite Orez Schema structurală a sistemului Fog A-MTS-TTS- secțiunea de la abonat la mini-PBX și de la mini-PBX la PBX de la ascultare cu ajutorul dispozitivelor neautorizate de preluare a datelor de orice tip (contact și fără contact), precum și instalații de înregistrare magnetică conectate și telefoane paralele Protecția este asigurată prin aplicarea unui semnal de zgomot în afara benzii pe linie, care împiedică funcționarea dispozitivelor de interceptare Acest sistem previne, de asemenea, interceptarea camerei prin exploatarea efectului de microfon al telefoanelor și a interferențelor de înaltă frecvență Schema bloc a sistemului "Ceata A-MTS-TTS- " este prezentata in fig Caracteristicile distinctive ale acestui sistem: • automatizarea completă a controlului și suprimării liniilor (microprocesor încorporat); • este permisă controlul de la distanță a generatorului printr-un semnal DTMF cu ton codificat de la un telefon protejat; • "modul watchdog" - monitorizarea constantă a tensiunii liniei telefonice și informarea cu privire la conexiunea prin sunet, inclusiv în receptor, și semnale luminoase; • reglarea digitală a nivelului de zgomot în linia telefonică Dacă în rețeaua mini-PBX există un telefon, linia rețelei mini-PBX și linia rețelei PBX sunt protejate Principalele caracteristici tehnice ale acestui sistem corespund pe deplin caracteristicilor sistemului Fog A-MTS- Dispozitivul de protectie si filtrul special sunt certificate Protecția liniilor telefonice împotriva ascultarii în zona de la abonatul la GTS ("Ceata A-GTS- ") Acest sistem asigură protecția liniilor telefonice din tronsonul de la abonat la PTN împotriva interceptărilor cu ajutorul dispozitivelor neautorizate de preluare a informațiilor de orice tip (de contact și fără contact), precum și a instalațiilor de înregistrare magnetică conectate și a aparatelor telefonice paralele Protecția este asigurată prin aplicarea unui semnal de zgomot în afara benzii pe linie, care împiedică funcționarea dispozitivelor de interceptare Acest sistem previne, de asemenea, interceptarea camerei prin exploatarea efectului de microfon al telefoanelor și a interferențelor de înaltă frecvență Orez Schema structurală a sistemului "Fog A-GTS- " Sistemul Fog A-GTS- funcționează conform schemei bloc prezentată în fig Caracteristicile distinctive ale acestui sistem: • automatizarea completă a controlului și suprimării liniilor (microprocesor încorporat); • este permisă controlul de la distanță a generatorului printr-un semnal DTMF cu ton codificat de la un telefon protejat; • "modul watchdog" - monitorizarea constantă a tensiunii liniei telefonice și informarea cu privire la conexiunea prin sunet, inclusiv în receptor, și semnale luminoase; • reglarea digitală a nivelului de zgomot în linia telefonică Dacă există un telefon pe linia directă CO, linia CO este protejată Principalele caracteristici tehnice ale acestui sistem corespund pe deplin caracteristicilor sistemului Fog A-MTS- Dispozitivul de protectie este certificat Protecția convorbirilor telefonice și a mesajelor transmise folosind un aparat de fax, întreaga cale de la abonat la abonat prin metoda de criptare ("Panorama-G-OOl") "Pa-norama-G-OOl" este conceput pentru a proteja conversațiile telefonice și mesajele transmise folosind un aparat de fax prin rețeaua publică de telefonie, folosind metoda de criptare a semnalului vocal Seria Panorama se remarcă prin versatilitate și ușurință în utilizare Intrarea în modul închis se realizează prin apăsarea unui buton Toate scramblerele proiectului Panorama sunt compatibile între ele și pot fi folosite pentru a construi rețele de comunicații confidențiale de diverse configurații Acest sistem funcționează conform diagramei bloc prezentate în Fig Protecția întregii căi a conversațiilor telefonice și a transmisiei folosind un aparat de fax se realizează prin criptare: • metoda de criptare - mozaic, permutări de frecvență și timp; • o metodă de distribuire a cheilor deschise care vă permite să lucrați fără un set manual de chei; • numărul total de combinații de taste - х ; Orez Diagrama structurală a protecției convorbirilor telefonice și a mesajelor transmise cu ajutorul unui aparat de fax de la abonat la abonat folosind metoda de criptare ("Panorama-G-OOl") • posibilitatea introducerii unei chei suplimentare din șapte cifre pentru identificarea abonatului; • un grad ridicat de protecție criptografică datorită prezenței unor chei principale suplimentare, care sunt instalate la cererea clientului Caracteristici ale funcționării acestui sistem în canal: • tensiune de curent continuu în linia de abonat - de la la V; • imunitate ridicată la zgomot atunci când se lucrează într-un canal de comunicare; • adaptarea automată la linia abonatului și neliniaritatea căilor PBX; • stabilitatea muncii în canalele telefonice reale din Rusia și țările CSI, inclusiv cele de lungă distanță și internaționale cu inserții de relee radio și orice tip de etanșare; • compatibilitate cu orice tip de telefon analogic si aparat de fax, cu minicentrala telefonica automata de orice tip, care are iesire analogica; • se lucreaza in linii dotate cu sisteme de etansare si utilizate pentru alarma antiefractie Proprietățile utilizatorului acestui sistem: • grad ridicat de anulare a ecoului; • nivel scăzut de zgomot în receptor; • calitate înaltă a vorbirii restaurate; • suport vocal pentru modurile de operare; • memorie nevolatilă a cheilor individuale de identificare; • un algoritm simplificat pentru introducerea cheilor-identificatori individuale prin utilizarea unui bloc de note electronice cu chei individuale Caracteristicile tehnice ale sistemului Panorama-G-OOl: Consumul de energie, W Nu mai mult de , Alimentat de un adaptor AC sau baterii externe cu tensiune, V Dimensiuni totale, mm x x Greutate, kg Nu mai mult de , Dispozitivele acestui sistem sunt certificate Protecția convorbirilor telefonice și a mesajelor transmise cu ajutorul unui aparat de fax a întregii trasee de la mini-PBX de birou la abonat folosind metoda de criptare ("Panorama-GM-OOl") Proiectul este conceput pentru a proteja conversațiile telefonice și mesajele transmise cu ajutorul unui aparat de fax prin rețeaua publică de telefonie prin criptarea semnalului vocal Seria Panorama se remarcă prin versatilitate și ușurință în utilizare Intrarea în modul închis se realizează prin apăsarea unui buton Acest sistem funcționează conform diagramei bloc prezentate în Fig Este proiectat să funcționeze împreună cu PBX-urile de birou Scrambler-ul este conectat între linia telefonică a orașului și mini-PBX, asigurându-se că toate aparatele de telefon și fax conectate la acest mini-PBX funcționează în modul închis Funcționează cu orice tip de PBX care are o ieșire analogică Poate fi folosit și ca un scrambler de abonat obișnuit cu telecomandă și amplasat departe de telefon (într-o masă, dulap etc ) Caracteristicile tehnice și funcționalitatea acestui scrambler sunt similare cu parametrii scrambler-urilor din proiectul Panorama Protecția întregii căi a conversațiilor telefonice și transmiterea mesajelor folosind un aparat de fax se realizează prin criptare Caracteristici ale funcționării acestui sistem în canal: • tensiune de curent continuu în linia de abonat - de la la V; • imunitate ridicată la zgomot atunci când se lucrează într-un canal de comunicare; • adaptarea automată la linia abonatului și neliniaritatea căilor PBX; Orez Schema structurală a protecției convorbirilor telefonice și a mesajelor transmise cu ajutorul unui aparat de fax de la linia PBX de la birou către abonat folosind criptare ("Panorama-GM-OOl") • stabilitatea muncii în canalele telefonice reale din Rusia și țările CSI, inclusiv cele de lungă distanță și internaționale cu inserții de relee radio și orice tip de etanșare; • compatibilitate cu orice tip de telefon analogic si aparat de fax, cu minicentrala telefonica automata de orice tip, care are iesire analogica; • lucrari in linii dotate cu sisteme de etansare si utilizate pentru alarma antiefractie; • control de la distanță de la telefonul sau faxul unui abonat; • suport vocal pentru modurile de operare Caracteristicile tehnice ale sistemului Panorama-GM-OOl Consumul de energie, W Nu mai mult de , Alimentat de un adaptor AC tensiune, V Dimensiuni totale, mm x x Greutate, kg Nu mai mult de , Dispozitivele utilizate în acest sistem sunt certificate Protecția convorbirilor telefonice și a mesajelor transmise cu ajutorul unui aparat de fax, întreaga cale de la abonat la abonat prin metoda de criptare ("Panorama-SMl - ") "Panorama-SMl - " este conceput pentru a proteja convorbirile telefonice și mesajele transmise folosind un aparat de fax prin rețeaua publică de telefonie, folosind metoda de criptare a semnalului vocal Seria Panorama se remarcă prin versatilitate și ușurință în utilizare Intrarea în modul închis se realizează prin apăsarea unui buton Toate scramblerele proiectului Panorama sunt compatibile între ele și pot fi folosite pentru a construi rețele de comunicații confidențiale de diverse configurații Sistemul funcționează conform schemei bloc prezentate în fig Protejarea întregii căi a conversațiilor telefonice și transmiterea mesajelor transmise cu ajutorul unui aparat de fax se realizează prin criptare Caracteristicile tehnice și funcționalitatea acestui scrambler sunt similare cu parametrii scrambler-urilor din proiectul Panorama Orez Schema structurală a sistemului "Panorama-SMl - " Caracteristici ale funcționării acestui sistem în canal: • stabilitatea muncii în canalele telefonice reale din Rusia și țările CSI, inclusiv cele de lungă distanță și internaționale cu inserții de relee radio și orice tip de etanșare; • se lucreaza in linii dotate cu sisteme de etansare si utilizate pentru alarma antiefractie Algoritmul de criptare corespunde algoritmului utilizat în scramblerele din seria Panorama Acest model are un set mare de funcții suplimentare de service, are un afișaj încorporat, combină munca de înaltă calitate și un preț relativ scăzut Proprietățile utilizatorului acestui sistem: • toate funcțiile de identificare a apelantului (reapelare automată, ceas, memorie numere de intrare și de ieșire etc ); • opțiuni de programare; • introducerea manuală a tastelor suplimentare din șapte cifre direct sau într-un caiet electronic Caracteristicile tehnice ale sistemului "Panorama-SMl - " Consumul de energie, W Nu mai mult de Nutriție: tensiune, V frecvență, Hz Dimensiuni totale, mm x x Greutate, kg Nu mai mult de , Dispozitivele utilizate în acest sistem sunt certificate Protecția criptografică a vorbirii și a datelor transmise prin canale deschise de comunicare telefonică (conform proiectului Universe-CV- ) Proiectul este destinat protejării criptografice a convorbirilor telefonice, a mesajelor transmise cu ajutorul unui aparat de fax și pentru transmiterea datelor de la un computer prin criptarea unui semnal vocal transmis printr-o rețea publică de telefonie Sistemul funcționează conform schemei bloc prezentate în fig Se realizează protecția criptografică a întregii căi de transmisie a datelor și a convorbirilor telefonice de la abonat la abonat Dispozitivul de criptoprotecție cu putere criptografică garantată are o putere criptografică ridicată Pentru a-l deschide, ținând cont de tehnologia informatică care se dezvoltă rapid, va dura câteva secole Algoritmul de criptare se bazează pe algoritmul LION Cheia de criptare are de biți Dispozitivul criptează vorbirea și datele Este instalat între un telefon standard și rețeaua publică de telefonie Dacă se dorește, proprietarul poate cripta vorbirea, prevenind astfel Orez Diagrama structurală a sistemului de protecție criptografică a vorbirii și a datelor pentru proiectul "Universe-CV- " interceptarea convorbirilor telefonice În plus, dispozitivul poate fi conectat la un computer (printr-un port serial standard) pentru a cripta datele transmise prin linii telefonice Acest dispozitiv oferă și alte funcții utile: • realizează autentificarea participanților la comunicare (dispozitivul garantează că vorbești cu persoana potrivită); • folosește un set de algoritmi pentru a obține calitatea maximă a transmisiei vorbirii la o rată dată; • salvează jurnalul conexiunilor în arhivă; • Poate fi folosit pentru a cripta mesajele fax Dispozitivul este instalat și configurat de un angajat al organizației de exploatare, desemnat de administratorul sistemului criptografic, ale cărui atribuții vor include suportul utilizatorilor Împreună cu dispozitivul, vi se vor oferi carduri inteligente pentru identificarea utilizatorului și accesul la dispozitiv Fiecare card inteligent are un număr de identificare (PIN) Cardul inteligent trebuie depozitat într-un loc sigur, deoarece conține o cheie electronică de codificare/decodare a mesajelor Caracteristicile tehnice ale sistemului Universe-SV- ( ± )х( ± )х( ± ) , ± , ( , ) (vârf , A) Dimensiuni (inaltime, latime, lungime), mm Greutate, kg Interval de temperatură, °С Umiditate la + °С,% Consumul de energie prin adaptor ( / V), V(A) Tastatură: numărul de butoane numerice numarul de butoane functionale Rata de transfer, bps Până la Algoritm neliniar de complexitate mai mare (număr de opțiuni) ІО Protecția telefoanelor celulare cu echipamente cu putere criptografică garantată în cadrul proiectului "Universe-Sota- " Conversațiile telefonice sunt protejate de un algoritm neliniar de cea mai mare complexitate, cu o lungime a tastei pe termen lung de de biți Cu fiecare sesiune de comunicare, cheia de criptare Markantiană se schimbă automat - conform legii numerelor aleatorii (adică, o cheie nouă, necunoscută este utilizată în fiecare sesiune de comunicare) Acest dispozitiv nu are analogi în lume în ceea ce privește rezistența sa criptografică și nu poate fi decriptat Acest dispozitiv cu putere criptografică garantată implică instalarea unei chei pe termen lung de către proprietarul echipamentului și are o putere criptografică ridicată Pentru a-l deschide, ținând cont de tehnologia informatică care se dezvoltă rapid, va dura câteva secole Modificările cheii pe termen lung sunt efectuate de un angajat al organizației de operare desemnat de administratorul sistemului criptografic, ale cărui atribuții includ sprijinirea activității utilizatorilor (generatorul de chei nu este inclus în setul de livrare) Tasta Markant se schimbă automat la începutul fiecărei sesiuni - conform legii numerelor aleatorii Pachetul include un telefon mobil cu o placă criptografică instalată în el cu toate accesoriile Orice tip de telefon mobil Probleme generale de organizare a contracarării la agresiunea informațională și tehnică Protecția mijloacelor tehnice și a instalațiilor întreprinderilor împotriva scurgerilor de informații și a accesului neautorizat Primul pas în crearea unui sistem de securitate fizică (precum și securitatea informațiilor în general) ar trebui să fie o analiză a amenințărilor (riscurilor), atât reale (acționând în momentul de față), cât și potențiale (capabile să se manifeste în viitor) Pe baza rezultatelor analizei de risc folosind criterii de optimizare, se formează cerințele pentru sistemul de securitate al unei anumite întreprinderi și al unei anumite instalații într-un anumit mediu Supraestimarea cerințelor duce la cheltuieli nejustificate, subestimarea - la o creștere a probabilității de realizare a amenințărilor În general, sistemul de securitate fizică ar trebui să includă subsisteme: • control acces (cu functie de screening); • detectie intruziuni, alarme de urgenta si incendiu (alarme); • protecţie inginerească şi tehnică (pasivă); • afișarea și evaluarea situației; • management in situatii de urgenta si alarma; • alerte si comunicatii in situatii extreme; • siguranţa personală a personalului La construirea unui sistem de securitate fizică care îndeplinește cerințele formulate, dezvoltatorul selectează și combină următoarele obiecte de protecție și contramăsuri: • clădiri și obstacole în construcție care interferează cu acțiunile intrusului și îl întârzie; • echipamente de alarmă care permit detectarea tentativelor de intruziune și acțiunilor neautorizate, precum și evaluarea pericolului acestora; • sisteme de comunicații care colectează, combină și transmit informații de alarmă și alte date; • sisteme de control necesare pentru afișarea și analiza informațiilor de alarmă, precum și pentru implementarea acțiunilor de răspuns ale operatorului și controlul forțelor de apărare; • personalul de paza si intreaga intreprindere (dupa gradul de detinere a informatiilor confidentiale), efectuarea programelor zilnice de securitate, gestionarea sistemului de management si asigurarea securitatii firmei, folosirea acestuia in situatii de urgenta; • proceduri de securitate care prescriu anumite acţiuni de protecţie, direcţionarea şi managementul acestora Pentru a contracara inteligența tehnică, pot fi propuse următoarele modele pentru a proteja mijloacele și obiectele tehnice de scurgerea de informații și accesul neautorizat: • model de protecţie elementară; • model de protectie multistrat; • model de protecţie pe mai multe niveluri În cazul general, cel mai simplu model de protecție elementară a oricărui obiect poate avea forma prezentată în Fig Obiectul de protecție este plasat într-o carcasă de protecție închisă și omogenă, numită barieră Rezistența A a protecției depinde de proprietățile barierei Capacitatea unui obstacol de a rezista încercărilor de a-l depăși de către un intrus joacă un rol fundamental Proprietatea subiectului de protecție este capacitatea de a-și atrage proprietarul și potențialul intrus Atractivitatea subiectului protecției constă în prețul acestuia Această proprietate a subiectului protecției este utilizată pe scară largă în evaluarea securității informațiilor din sistemele de calcul Se presupune că puterea creatului Orez Model de apărare elementară: - subiect de protecție; - bariera; A - puterea barierei Orez Model de protectie multistrat; , , - obstacole; - subiect de protecție; A - puterea barierei bariera este suficientă dacă costul costurilor preconizate ale depășirii acesteia de către un potențial contravenient depășește costul proceselor de prelucrare a informațiilor protejate În practică, în cele mai multe cazuri, circuitul de protecție este format din mai multe bariere interconectate , , cu rezistențe diferite Modelul unei astfel de protecție de la mai multe legături este prezentat în fig Un exemplu de astfel de subiect de protecție este camera în care este depozitat echipamentul Pereții, tavanele, podelele, ferestrele și încuietorile pot servi drept bariere cu diferite rezistențe ușile Sistemul de monitorizare a deschiderii echipamentelor și sistemul de identificare și delimitare a accesului, care controlează accesul la perimetrul sistemului informatic (CS), la prima vedere, formează un circuit închis de protecție, dar acces la mijloacele de afișare și documentare radiațiile electromagnetice false și capturile (PEMIN), purtătorii de informații și alte canale posibile ale UA către informații nu sunt blocate și, prin urmare, nu sunt Astfel, bucla de securitate va include și un sistem de control al accesului la sediu, mijloace de protecție împotriva PEMIN, criptare etc ca legături ale acesteia Aceasta nu înseamnă că sistemul de control al accesului la incintă nu poate fi un circuit închis de protecție pentru un alt subiect de protecție (de exemplu, pentru un complex de echipamente de automatizare (K CA)) Totul ține de punctul de referință, în acest caz, subiectul protecției, adică bucla de protecție nu va fi închisă atâta timp cât există vreo posibilitate de acces neautorizat la una la acelaşi obiect de protecţie În cazurile critice, cu cerințe de protecție sporite, se utilizează protecție pe mai multe niveluri, al cărei model este prezentat în Fig Dacă o aeronavă cu procesare securizată a informațiilor este considerată ca obiect independent sau ca element al unui teritorial Orez Model de protectie multinivel: - circuit de protectie; - al -lea circuit de protectie; - al -lea circuit de protectie; - subiectul protecției dar-rețea de calculatoare dispersată sau un sistem mare de control automatizat, atunci modelul său generalizat de protecție poate fi reprezentat ca ceva întreg (Fig ) Deoarece informațiile sunt localizate fizic pe hardware și software, acestea din urmă sunt prezentate în același mod din exterior în raport cu informațiile Subiectul protecției îl reprezintă informațiile care circulă și stocate în ASOD sub formă de date, comenzi și mesaje care au orice valoare pentru proprietarul lor și potențialul intrus În același timp, un eveniment care este exprimat într-o încercare a contravenientului de a comite acțiuni neautorizate în legătură cu orice parte a acestuia este considerat UA Din punctul de vedere al intrării și ieșirii din sistem, remarcăm cele mai tipice pentru majoritatea sistemelor gata de lucru, mijloace standard de intrare, ieșire și stocare a informațiilor: • terminale de utilizator; • mijloace de afișare și documentare a informațiilor; • mijloace de încărcare a software-ului în sistem; • medii de stocare: memorie cu acces aleatoriu (RAM), DZU, imprimări etc ; • canale de comunicare externe Toate mijloacele enumerate sunt numite canale obișnuite prin care accesul autorizat la informațiile supuse protecției este efectuat de către utilizatorii legitimi Pregătirea sistemului pentru funcționare înseamnă că sistemul funcționează normal, intrările și comenzile tehnologice nu sunt utilizate în funcționare Toate amenințările potențiale la adresa informațiilor pot fi împărțite în intenționate și accidentale Natura și punctele aplicării lor sunt diferite Punctele de aplicare a influențelor aleatoare sunt distribuite pe întreaga "zonă" a sistemului de calcul Locul și momentul producerii acestor evenimente respectă legile numerelor aleatorii Pericolul influențelor accidentale constă în denaturarea sau formarea accidentală a comenzilor, mesajelor și adreselor incorecte, ducând la pierderea, modificarea și scurgerea informațiilor de protejat Există, de asemenea, mijloace cunoscute de prevenire, detectare și blocare a efectelor aleatorii - acestea sunt mijloace de creștere a valorii Orez Un model generalizat pentru protejarea unui obiect, de exemplu, o aeronavă, cu procesare sigură a informațiilor: - NSD la mijloacele de protecție; - UA la informații de la terminale; - UA la informarea când echipamentul este scos la reparare; - punct de control; - sistem de scoatere a echipamentelor din circuitul de lucru al schimbului de informații; - limita zonei controlate de pe teritoriul instalației; - sistem de control acces la incinta obiectului; - sistem de monitorizare a deschiderii echipamentelor; - sistem de identificare și control acces; - criptarea datelor; , - NSD către canalele de comunicare externe; - UA la purtătorii de software; - verificare software; - mijloace de înregistrare și contabilizare a documentelor; - NSD la purtătorii de informații; - mijloace de distrugere a informațiilor; - acces la coșul de gunoi; - NSD la EMR al obiectului informativ; - NSD la preluarea de informații privind circuitele de alimentare și de împământare ale echipamentelor; - NSD la liniile de comunicații interne și instalarea echipamentelor; - NSD la console și comenzi tehnologice; - NSD la terminale, mijloace de afișare și documentare; - echipamente; - programe; - informație fidelitatea informațiilor prelucrate și transmise În același timp, circuitele, circuitele, algoritmul și alte măsuri incluse în proiectarea sistemului informatic sunt utilizate ca mijloace de avertizare care reduc numărul probabil de efecte aleatorii Acestea au ca scop eliminarea cauzelor efectelor aleatorii, adică reducerea probabilității apariției acestora Deoarece după aceste măsuri probabilitatea apariției lor rămâne încă semnificativă, pentru a detecta și bloca impacturile accidentale în timpul funcționării, se folosesc instrumentele de control funcțional încorporate în sistem, ai căror indicatori calitativi sunt: • timpul de detectare și localizare a defecțiunilor; • fiabilitatea controlului funcționării; • completitudinea controlului (acoperirea sistemului informatic); • timpul de întârziere în detectarea defecţiunilor Punctele de aplicare a influențelor intenționate sunt asociate în primul rând cu intrările în sistem și cu ieșirile de informații din acesta, i e cu "perimetrul" sistemului Aceste intrări și ieșiri pot fi legale sau ilegale, de exemplu posibilele canale de acces neautorizat la informații dintr-un sistem informatic pot fi: • toate fondurile obișnuite de mai sus în cazul utilizării lor ilegale; • console și comenzi tehnologice; • instalarea internă a echipamentelor; • linii de comunicare între hardware-ul sistemului informatic; • radiația electromagnetică laterală a informațiilor; • preluarea laterală a informațiilor privind rețelele de alimentare și împământare ale echipamentelor, comunicații auxiliare și externe situate în apropierea echipamentelor sistemului informatic; • canale de comunicare externe Pericolul acțiunilor intenționate neautorizate constă în introducerea de către intrus a comenzilor, solicitărilor, mesajelor și programelor ilegale care conduc la pierderea, modificarea informațiilor și familiarizarea neautorizată cu acestea, precum și în interceptarea informațiilor secrete de către intrus de către recepționarea și observarea semnalelor de radiații electromagnetice false și de captare Eficiența protecției proceselor de prelucrare a informațiilor și metodologia de calcul a acesteia Informațiile devin în cele din urmă învechite și, în unele cazuri, prețul lor poate scădea la zero Apoi, ca o condiție pentru eficacitatea și suficiența protecției, se poate lua excesul de timp petrecut pentru depășirea obstacolului de către intrus pe durata de viață a informațiilor Dacă notăm probabilitatea eșecului de depășire a sistemelor de securitate a informațiilor (obstacolelor) de către intrus prin Рсзм, durata de viață a informațiilor prin Tj, timpul așteptat pentru depășirea obstacolului de către intrus prin ін, probabilitatea de a ocoli obstacolul de către intrus prin Robx, apoi pentru cazul îmbătrânirii informației, condiția de suficiență de protecție va avea forma L z u = dacă Gf tH și Robх = , atunci p = - p S Z I *- H! unde PH este probabilitatea de a depăși obstacolul de către intrus într-un timp mai mic de /g Pentru cazul real, când /x > in și Robx > , puterea de protecție poate fi reprezentată după cum urmează: Rs, Z I \u d ( - Rn) ( - Dbh), unde Рн = dacă /Ж dacă /zh > ZH Cu toate acestea, această formulă este valabilă pentru cazul în care există doi contravenienți, adică atunci când unul depășește obstacolul, iar al doilea îl ocolește Dar în modelul inițial de comportament al unui potențial intrus, se presupune că intrusul va fi la singular și el cunoaște puterea barierei și complexitatea modului în care o înconjoară Deoarece nu va putea merge pe două căi în același timp, va alege una dintre ele - cea mai simplă, adică conform formulei logice "SAU" Atunci expresia formală a rezistenței de protecție în ansamblu pentru acest caz va corespunde formulei L z i \u d ( -L) și ( - L\u e bx) ( ) unde și este semnul SAU În consecință, rezistența barierei după determinarea și compararea valorilor ( - Рн) și ( - Robх) va fi egală cu cea mai mică valoare a uneia dintre ele Ca exemplu de protecție elementară calculată prin formula ( ), poate fi numită protecția criptografică a proceselor de prelucrare a informațiilor, unde valoarea lui Рn poate fi determinată prin estimarea probabilității de selectare a unui cod cheie care poate fi folosit pentru decriptarea informațiilor închise în acest cale Această valoare poate fi determinată prin formulă unde n este numărul de încercări de a selecta un cod; A este numărul de caractere din alfabetul selectat al codului cheie; - lungimea codului cheii în numărul de caractere Valoarea Robx va depinde de metoda de criptare aleasă, metoda de aplicare, caracterul complet al suprapunerii textului informațional, metodele de criptoanaliza existente, precum și metoda de stocare a valorii reale a codului cheii și frecvența înlocuirii acestuia cu o nouă valoare, dacă informațiile închise prin această metodă sunt stocate permanent de proprietarul acesteia Pot exista și alte circumstanțe care afectează probabilitatea de a ocoli protecția criptografică Alegerea și definirea lui Robh poate fi efectuată mai întâi de un expert, pe baza experienței specialiștilor Probabilitatea de ocolire barierele unui intrus trebuie să ia valori de la la Cu /*obx = , protecția își pierde orice sens De asemenea, este posibil ca un obstacol să aibă mai multe moduri de ocolire Atunci formula ( ) ia următoarea formă: L z i = ( - Рн ) kJ ( - Robхі ) И ~ robх ) și U ( - Po x(t ), ( ) unde k este numărul de moduri de a ocoli obstacolul Rezistența barierei este egală cu cea mai mică valoare obținută după determinarea și compararea valorilor: ( -A>bxi), (І-^obxz), •••> ( ~A>bx*)- Dacă informațiile care trebuie protejate nu sunt depășite sau actualizate periodic, de ex inegalitatea > tH este constantă, sau dacă este imposibil să se furnizeze t"> din anumite motive, atunci se folosește de obicei o barieră permanentă, care are proprietățile de a detecta și bloca accesul intrusului la subiectul sau obiectul de protecție Ca atare protecție, poate fi utilizată o persoană sau un sistem special de detectare automatizat sub controlul unei persoane Parametrii acestei bariere îi vor afecta rezistența Capacitatea unui obstacol de a detecta și bloca UA trebuie luată în considerare atunci când se evaluează rezistența acestuia prin introducerea în formula de calcul ( ) în loc de ( - Pn) a valorii Po l, a probabilității de detectare și blocare a UA Principiul de funcționare al unei bariere automate se bazează pe faptul că unitatea de control din ea monitorizează periodic senzorii de detectare a intrusilor Rezultatele controlului sunt observate de o persoană Frecvența senzorilor de sondare poate ajunge automat la miimi de secundă sau mai puțin În acest caz, timpul așteptat pentru ca intrusul să depășească obstacolul depășește semnificativ perioada de interogare a senzorului; prin urmare, un astfel de control este adesea considerat permanent Pentru a detecta un intrus de către o persoană care operează mașina de control, doar o perioadă scurtă de interogare a senzorilor nu este suficientă De asemenea, este nevoie de timp pentru a genera un semnal de alarmă, de ex timpul de răspuns automat, deoarece adesea depășește semnificativ perioada de interogare a senzorilor și, prin urmare, crește timpul de detectare a intrusului Practica arată că de obicei un semnal de alarmă este suficient pentru a suspenda acțiunile intrusului dacă acest semnal ajunge la el Dar, deoarece accesul fizic la obiectul protejat este încă deschis, acțiunile ulterioare ale gardienilor se reduc la determinarea locației și organizarea blocării accesului intrusului, ceea ce va dura și timp Astfel, starea de rezistență a unui obstacol cu detectarea și blocarea UA poate fi reprezentată ca următoarea relație: Td T Mier S m + Sl I c c' unde Td este perioada de interogare a senzorilor; /sr - timpul de răspuns la alarmă; tOM este momentul determinării locației de acces; Sl - timp de blocare a accesului Dacă notăm cu Tobl suma (Ta + tcp + /om + Gbl), atunci obținem relația unde To l este momentul detectării și blocării accesului neautorizat Este posibil ca un intrus să nu fie detectat în două cazuri: ) când t" b \u d Ry P T, intrusul va fi detectat cu siguranță, adică Po - În al doilea caz, probabilitatea de succes a intrusului va fi determinată prin analogie cu relația anterioară Рн = ■ Go bl Probabilitatea de a detecta și bloca acțiunile neautorizate ale intrusului R o bl \u d , Ro bl=^- ( , ) * o bl Când tH > To O încercare de l la UA nu are sens, deoarece va fi detectată cu siguranță În acest caz, Robl = Astfel, puterea unui obstacol cu proprietăți de detectare și blocare poate fi calculată folosind formula Rs Z I " Ro bl ( - Robxі ) " Robx ) '"A , CJ - Robx / ) unde j este numărul de moduri de a ocoli acest obstacol De asemenea, trebuie menționat că această formulă este valabilă și pentru o măsură de protecție organizațională sub forma controlului periodic al unui anumit obiect de către o persoană În același timp, credem că detectarea, determinarea locației UA și blocarea acestuia au loc în același timp - în momentul controlului obiectului de către o persoană: GR \u d iom \u d ^bl \u d ; gobl = t, unde T este perioada controlului uman asupra obiectului de protecție Probabilitatea detectării și blocării acțiunilor intrusului va fi determinată de formula ( ) Pentru o reprezentare mai completă a rezistenței barierei sub forma unui sistem automat de detectare și blocare a accesului neautorizat, este necesar să se țină cont de fiabilitatea funcționării acesteia și de modalitățile în care un intrus o poate ocoli Probabilitatea defecțiunii sistemului este determinată de formulă Gotk(/) = ( , ) unde X este rata de defecțiune a unui grup de mijloace tehnice care alcătuiesc sistemul de detectare și blocare UA; t este intervalul de timp considerat pentru funcționarea sistemului de detectare și blocare UA Ținând cont de posibila defecțiune a sistemului de control, rezistența barierei va fi determinată de formulă Рс з уЛ = Рo bl ( ~ Gotk )u ( - Robхі )cj ( - РОbх )u, ,u(l - Robх/), ( ) unde Ro și Rom sunt determinate, respectiv, prin formulele ( ) și ( ); Robx și numărul de căi de ocolire j sunt determinate de un expert pe baza unei analize a principiilor de construire a unui sistem pentru controlul și blocarea UA Una dintre modalitățile posibile de a ocoli sistemul de detectare și blocare poate fi capacitatea intrusului de a dezactiva în mod ascuns sistemul de detectare și blocare (de exemplu, prin întreruperea sau scurtcircuitarea circuitelor de control, conectarea unui simulator de semnal de control, schimbarea programului de colectare a semnalului, etc ) Probabilitatea unor astfel de evenimente este determinată în intervalul de la la prin metoda evaluărilor experților bazate pe o analiză a principiilor de construcție și funcționare a sistemului În absența posibilității de oprire neautorizată a sistemului, probabilitatea acestuia este zero Pe baza celor de mai sus, să rezumam câteva rezultate și să concluzionăm că există două tipuri de bariere de protecție: controlate și necontrolate de o persoană Rezistența unei bariere necontrolate se calculează prin formula ( ), iar cea a unei bariere controlate se calculează prin formula ( ) Analiza acestor formule ne permite să formulăm prima regulă pentru protecția oricărui obiect Rezistența barierei de protecție este suficientă dacă timpul așteptat pentru depășirea acesteia de către intrus este mai mare decât durata de viață a obiectului protejat sau mai mare decât timpul de detectare și blocare a accesului acestuia în absența modalităților de ocolire ascunsă a acestei bariere La calcularea eficienței protecției multi-link a modelului (vezi Fig ), se poate face o descriere formală a rezistenței sale în conformitate cu formulele ( ) și ( ) Dar atunci când se utilizează bariere necontrolate, este mai oportun să se calculeze rezistența întregii protecție folosind următoarea formulă: •^s z u = ^S Z II ^S Z iZ ^S Z I/ ( - Robxi ) ( , ) unde L z u/ este puterea barierei /'-a Expresia pentru puterea protecției multi-link cu obstacole controlate va avea următoarea formă: Ts z uL ~ ^s s ikі Ps s ui - 'obx )u, ,u( -Robx/), ( ) unde Рс мкп este rezistența barierei a n-a Calculele rezistențelor finale de protecție pentru barierele necontrolate și controlate ar trebui să fie separate, deoarece datele inițiale pentru acestea sunt diferite și, prin urmare, acestea sunt sarcini diferite, două circuite de protecție diferite Dacă puterea verigii celei mai slabe satisface cerințele circuitului de protecție în ansamblu, atunci se pune întrebarea despre redundanța puterii pe verigile rămase ale acestui circuit Prin urmare, este convenabil din punct de vedere economic să se utilizeze bariere de rezistență egală într-un circuit de protecție cu mai multe legături Când se calculează puterea unui circuit de protecție cu multe legături, se poate întâmpla ca legătura cu cea mai mică rezistență să nu îndeplinească cerințele Apoi obstacolul din această legătură este înlocuit cu unul mai puternic sau acest obstacol este duplicat cu încă un obstacol și uneori cu două sau mai multe obstacole Dar toate barierele suplimentare trebuie să acopere același număr sau mai multe canale posibile UA ca primul Apoi, rezistența totală a barierelor duplicate va fi determinată de formulă T ( , ) caractere Parolele trebuie schimbate periodic Timpul de securitate a parolei T poate fi calculat folosind formula GB = (LV)/ , ( , ) unde t este timpul necesar pentru a introduce un cuvânt cu lungimea s, s este lungimea parolei; A este numărul de caractere din care poate fi compusă parola Timpul t este determinat de formula t = E/R, unde E este numărul de caractere din mesajul care conține parola; R este rata de caractere a parolei (caractere pe minut) În formula ( ), se presupune că atacatorul are capacitatea de a ghici continuu parola Dacă există o întârziere de câteva secunde după o încercare eșuată a parolei, atunci timpul de securitate crește semnificativ Perioada de schimbare a parolei nu trebuie să depășească TB În orice caz, este inacceptabil să folosiți o parolă mai mult de un an CS ar trebui să înregistreze orele accesului cu succes și momentul introducerii nereușite a parolei După trei erori la rând la introducerea unei parole, dispozitivul este blocat și informații despre presupusul fapt de ghicire a parolei sunt trimise administratorului de serviciu al sistemului de securitate Parolele trebuie să fie stocate în CS în așa fel încât să fie inaccesibile persoanelor neautorizate Acest lucru poate fi realizat în două moduri: • utilizați un dispozitiv special de stocare pentru stocarea parolelor, informațiile citite din care nu se încadrează în afara blocului de memorie (circuitul de comparare a parolelor se află în blocul propriu-zis) Scrierea într-o astfel de memorie se realizează într-un mod special; • aplicați transformarea parolei criptografice Parola nu este emisă când o introduceți pe ecranul monitorului Pentru ca subiectul de acces să determine numărul de caractere de parolă introduse pe ecran, este emis un caracter special (de obicei un asterisc) Parola ar trebui să fie ușor de reținut și, în același timp, dificil de ghicit Nu este recomandat să folosiți ca parolă nume, prenume, date de naștere etc Când introduceți o parolă, este recomandabil să folosiți caractere din diferite registre, alternarea litere, cifre, caractere speciale O modalitate foarte eficientă este de a folosi o combinație paradoxală de cuvinte ("cartea atârnă", "pluta zboară", etc ) și un set de rusă literele parolei în cazul latin Rezultatul este un set fără sens de litere ale alfabetului latin Ca identificator în multe CS-uri, este utilizat un mediu de stocare amovibil, pe care este înregistrat codul de identificare al subiectului de acces Într-un PC, un disc magnetic flexibil este utilizat în acest scop Un astfel de identificator are mai multe avantaje: • nu este necesar hardware suplimentar; • pe lângă codul de identificare, media poate stoca și alte informații utilizate pentru autentificare, controlul integrității informațiilor, atribute de criptare etc Pentru identificarea utilizatorilor, jetoanele electronice sunt utilizate pe scară largă - generatoare de coduri de identificare aleatoare Un token este un dispozitiv care generează o secvență alfanumeric (cuvânt) pseudo-aleatorie Acest cuvânt se schimbă aproximativ o dată pe minut sincron cu schimbarea aceluiași cuvânt în CS Ca rezultat, este generată o parolă unică, care este potrivită pentru utilizare numai pentru o anumită perioadă de timp și numai pentru o singură conectare la sistem Primul astfel de token Security Dynamics a apărut în Un alt tip de jeton arată ca un calculator În timpul procesului de autentificare, CS emite o secvență de solicitare digitală către monitorul utilizatorului, utilizatorul o tastează pe tastatura jetonului Tokenul generează o secvență de răspuns, pe care utilizatorul o citește din indicatorul de simbol și o intră în CS Rezultatul este din nou o parolă unică, care nu se repetă Fără un token, este imposibil să intri în sistem În plus, înainte de a utiliza simbolul, trebuie să introduceți parola personală în el Identificatorii de atribut (altele decât parolele) pot fi utilizați numai în momentul accesării și înregistrării sau trebuie să fie conectați permanent la cititor până la sfârșitul lucrului Pe durata chiar și a unei scurte absențe, identificatorul este retras, iar accesul la dispozitiv este blocat Astfel de dispozitive hardware și software sunt capabile să rezolve problemele nu numai de a restricționa accesul la dispozitive, ci și de a oferi protecție împotriva accesului neautorizat la informații (NSDI) Principiul de funcționare a unor astfel de dispozitive se bazează pe extinderea funcțiilor OS la nivel hardware Procesul de autentificare poate include, de asemenea, un dialog între subiectul de acces și CS Subiectului accesului i se pun întrebări, ale căror răspunsuri sunt analizate, iar o concluzie finală se face despre autenticitatea subiectului accesului Cheile mecanice sunt adesea folosite ca un simplu identificator Blocarea mecanică poate fi combinată cu blocul alimentarea cu energie a dispozitivului Capacul, sub care se află principalele comenzi ale dispozitivului, poate fi blocat Fără deschiderea capacului, este imposibil să lucrați cu dispozitivul Prezența unei astfel de încuietori este un obstacol suplimentar în calea unui atacator atunci când încearcă să efectueze acces neautorizat la dispozitiv Accesul la dispozitivele CS ale obiectului poate fi blocat de la distanță De exemplu, într-o conexiune LAN la rețeaua unei stații de lucru poate fi blocată de la stația de lucru a administratorului De asemenea, puteți controla accesul la dispozitive folosind o metodă atât de simplă, dar eficientă, cum ar fi oprirea alimentării În timpul orelor de lucru, alimentarea poate fi oprită folosind dispozitive de comutare controlate de securitate Organizarea accesului personalului de service la dispozitive diferă de organizarea accesului utilizatorilor În primul rând, dispozitivul, dacă este posibil, este eliberat de informații confidențiale și legăturile de informații sunt deconectate Întreținerea și restaurarea dispozitivelor se efectuează sub controlul funcționarilor O atenție deosebită se acordă lucrărilor legate de accesul la instalarea internă și înlocuirea blocurilor De obicei, pentru a implementa NDDI, utilizatorul folosește: • cunoștințe despre CS și capacitatea de a lucra cu acesta; • informații despre sistemul de securitate a informațiilor; • defecțiuni, defecțiuni hardware și software; • erori, neglijență a personalului de service și a utilizatorilor Pentru a proteja informațiile de accesul neautorizat, este creat un sistem pentru a restricționa accesul la informații Accesul neautorizat la informații în prezența unui sistem de control al accesului este posibil numai în cazul defecțiunilor și defecțiunilor CS, precum și atunci când se utilizează slăbiciuni în sistemul integrat de protecție a informațiilor de care atacatorul ar trebui să fie conștient Una dintre modalitățile de a obține informații despre deficiențele sistemului de protecție este studierea mecanismelor de protecție Utilizatorul poate testa sistemul de protecție prin contact direct cu acesta În acest caz, există o probabilitate mare ca sistemul de protecție să detecteze încercări de testare Ca urmare, serviciul de securitate poate lua măsuri suplimentare de protecție Pentru a bloca cercetarea și copierea neautorizată a informațiilor CS, se utilizează un set de mijloace și măsuri de protecție, care sunt combinate într-un sistem de protecție împotriva cercetării și copierii informațiilor Astfel, SynRM și SZIK pot fi considerate subsisteme ale sistemului de protecție împotriva NDIS Informația inițială pentru crearea DRS este decizia proprietarului (administratorului) CS cu privire la admiterea utilizatorilor la anumite resurse de informații ale CS Întrucât informațiile sunt stocate, procesate și transmise în CS în fișiere (părți de fișiere), accesul la informații este reglementat la nivelul fișierelor (obiecte de acces) Este mai dificil de organizat accesul în baze de date, în care acesta poate fi reglementat către părți individuale ale bazei de date conform anumitor reguli La definirea permisiunilor de acces, administratorul stabilește operațiunile pe care utilizatorul (subiectul de acces) are voie să le efectueze Sistemul de control al accesului la informații ar trebui să conțină patru blocuri funcționale: • identificarea și autentificarea subiecților de acces; • manager de acces; • transformarea criptografică a informaţiei în timpul stocării şi transmiterii acesteia; • curățarea memoriei Identificarea și autentificarea subiecților se efectuează în momentul accesului acestora la dispozitive, inclusiv la cele de la distanță Managerul de acces este implementat sub formă de mecanisme hardware și software (Fig ) și oferă disciplina necesară pentru delimitarea accesului subiecților la obiecte de acces, inclusiv unități hardware, noduri și dispozitive Managerul de acces delimitează accesul la resursele interne ale CS al subiecților care au obținut deja acces la aceste sisteme Necesitatea de a utiliza un manager de acces apare doar într-un CS multi-utilizator Solicitarea de acces a subiectului /-lea la obiectul-al-lea se adresează unității de control a bazei de date (DB) a puterilor și caracteristicilor de acces și la unitatea de înregistrare a evenimentelor Autoritatea subiectului și caracteristicile obiectului de acces sunt analizate în blocul de decizie, care emite un semnal pentru a permite executarea cererii Orez Schema funcțională a managerului de acces sau un semnal de negare Dacă numărul de încercări ale subiectului de acces de a avea acces la obiecte interzise pentru el depășește o anumită limită (de obicei de trei ori), atunci blocul de decizie, pe baza datelor blocului de înregistrare, va emite un semnal "NDIS" către administrator de sistem de securitate Administratorul poate bloca activitatea unui subiect care încalcă regulile de acces în sistem și poate afla cauza încălcărilor Pe lângă încercările deliberate ale NDIS, dispecerul remediază încălcările regulilor de diferențiere, care au fost rezultatul defecțiunilor (eșecurilor) hardware și software SynRM trebuie să implementeze funcția de ștergere a memoriei principale și a zonelor de lucru pe dispozitivele de stocare externe după finalizarea execuției programului care prelucrează date confidențiale Mai mult, curățarea ar trebui făcută prin scrierea unei anumite secvențe de coduri binare în zonele de memorie libere și nu prin ștergerea doar a informațiilor contabile despre fișierele din tabelele OS, așa cum se face cu ștergerea standard de către instrumentele OS Designul SynRM se bazează pe conceptul dezvoltării unui sistem de operare universal securizat bazat pe nucleul de securitate Un nucleu de securitate este înțeles ca un set de mecanisme software și hardware localizat, minimizat, clar definit și izolat în mod fiabil Utilizarea nucleului de securitate necesită modificări ale sistemului de operare și arhitecturii computerului Limitarea dimensiunii și complexității nucleului este necesară pentru a asigura verificarea sa(tm) Pentru suport hardware de protecție și izolație a nucleului, arhitectura computerului trebuie să ofere: • modul de executare a comenzii pe mai multe niveluri; • utilizarea cheilor de securitate și segmentarea memoriei; • implementarea mecanismului de memorie virtuală cu separarea spaţiilor de adrese; • implementarea hardware a celor mai critice funcții ale sistemului de operare; • stocarea programelor kernel în memorie read-only (ROM); • utilizarea unor noi arhitecturi de calculatoare, altele decât arhitectura von Neumann (arhitecturi cu implementare de tipuri de date abstracte, arhitecturi cu privilegii etc ) Asigurarea unui mod de execuție a comenzii pe mai multe niveluri este condiția principală pentru crearea unui nucleu de securitate Trebuie să existe cel puțin două astfel de niveluri O parte din instrucțiunile computerului trebuie executată numai în modul de operare al sistemului de operare Principala problemă a creării unei protecții extrem de eficiente împotriva accesului neautorizat este prevenirea tranziției neautorizate a proceselor utilizatorului la o stare privilegiată Pentru sistemele de operare complexe moderne, practic nu există nicio dovadă a absenței posibilitatea obținerii neautorizate de către programele utilizator a stării programelor OS Utilizarea cheilor de protecție, segmentarea memoriei și utilizarea mecanismului de memorie virtuală oferă suport hardware pentru conceptul de izolare a zonelor de memorie atunci când computerul funcționează în moduri multiprogram Aceste mecanisme servesc drept bază pentru organizarea funcționării computerelor în modul mașină virtuală Modul mașină virtuală vă permite să creați cea mai mare izolare a utilizatorilor, permițându-le utilizatorilor să folosească chiar și sisteme de operare diferite în modul de partajare a timpului Implementarea hardware a celor mai critice funcții ale sistemului de operare și stocarea programelor de kernel în ROM măresc semnificativ izolarea nucleului și rezistența acestuia la încercările de modificare În hardware, în primul rând, funcțiile de identificare și autentificare a subiecților de acces, stocarea atributelor sistemului de protecție, sprijinirea închiderii criptografice a informațiilor, gestionarea defecțiunilor și defecțiunilor și altele ar trebui implementate în hardware Sistemele de operare universale moderne, cum ar fi UNIX, VAX / VMS, Solaris, au încorporate mecanisme de control al accesului și autentificare Cu toate acestea, capacitățile acestor funcții încorporate sunt limitate și nu pot îndeplini cerințele pentru calculatoare securizate Există două modalități de a obține KS protejat de NSD: • crearea de UC specializate; • dotarea CS universal cu mijloace suplimentare de protecţie Prima modalitate de a construi CS-uri securizate nu a devenit încă larg răspândită din cauza numărului nerezolvat de probleme, principala dintre acestea fiind lipsa unor metode eficiente de dezvoltare a hardware-ului și software-ului corect dovedit pentru sisteme complexe Printre puținele exemple de calculatoare specializate se poate numi sistemul SCOMP de la Honeywell, conceput pentru utilizarea în centrele de comutare ale rețelelor de calculatoare care procesează informații secrete Sistemul este dezvoltat pe baza conceptului de bază de securitate Specializarea restrânsă a făcut posibilă crearea unui sistem securizat care să ofere eficiența necesară de funcționare pentru scopul propus Cel mai adesea, protecția COP împotriva accesului neautorizat se realizează prin utilizarea de software sau hardware și software suplimentar Instrumentele software RACF, SECURC, TOPSECRET și altele au fost folosite pentru a proteja computerele de tip IBM- În prezent, există zeci de programe individuale, sisteme software și hardware concepute pentru a proteja computerele personale de accesul neautorizat la computere, care delimitează accesul la informații și la dispozitivele PC Protecție hardware și software pentru PC Majoritatea sistemelor de protecție hardware și software implementează numărul maxim de mecanisme de protecție, care includ: • identificarea și autentificarea utilizatorilor; • diferențierea accesului la fișiere, directoare, discuri; • controlul integrității software-ului și informațiilor; • capacitatea de a crea un mediu de utilizator închis funcțional; • protecția procesului de pornire a sistemului de operare; • blocarea PC-ului în timpul absenței utilizatorului; • transformarea criptografică a informaţiei; • înregistrarea evenimentelor; • golirea memoriei Pe lângă metodele și mijloacele NSD cu ajutorul SynRM, sunt utilizate următoarele metode și mijloace pentru a proteja PC-ul (vezi Capitolul ): • contracararea la conectarea neautorizată a dispozitivelor; • protecția controlului și comutării, instalarea internă împotriva interferențelor neautorizate; • controlul integrității și protecției structurii software în timpul funcționării Atunci când se organizează contracararea la conectarea neautorizată a dispozitivelor la CS, trebuie să se țină cont de faptul că aceasta este una dintre modalitățile posibile de modificări neautorizate în structura tehnică a CS Aceste modificări pot fi implementate prin conectarea dispozitivelor neînregistrate sau înlocuirea lor cu instrumente CS standard Pentru a preveni o astfel de amenințare, se folosesc următoarele metode: • verificarea caracteristicilor aparatului; • utilizarea identificatorilor dispozitivului Dispozitivele de stocare ale CS, de regulă, conțin informații despre configurația sistemului Astfel de informații includ: tipurile de dispozitive (blocuri) și caracteristicile acestora, numărul și caracteristicile de conectare a dispozitivelor externe, moduri de operare și alte informații Compoziția specifică a caracteristicilor de configurare este determinată de tipul de CS și OS În orice caz, cu ajutorul instrumentelor software, se poate organiza colectarea și compararea informațiilor despre configurația CS Dacă computerul funcționează în rețea, atunci, cel puțin atunci când este conectat la rețea, configurația computerului este monitorizată O metodă și mai fiabilă și mai eficientă de control este utilizarea unui cod special - identificatorul dispozitivului Acest cod poate fi generat de hardware și poate fi stocat în memorie Generatorul poate iniția emiterea unui număr unic de dispozitiv către dispozitivul de control (într-o rețea de calculatoare, acesta poate fi locul de muncă al administratorului) Codul din memorie poate fi citit și analizat periodic prin intermediul administratorului CS Utilizarea complexă a metodelor de analiză a caracteristicilor de configurare și utilizarea identificatorilor de dispozitiv cresc semnificativ probabilitatea de a detecta încercări de conectare sau înlocuire neautorizată Protecția controlului, comutării și instalării interne a COP se realizează: • blocarea accesului la instalația internă, comenzile și comutarea cu ajutorul încuietorilor ușilor, capacelor, ecranelor de protecție etc ; • prezenţa controlului automat al deschiderii echipamentului Crearea de obstacole fizice în calea utilizatorului ar trebui luată în considerare în etapa de proiectare Aceste modele nu ar trebui să creeze inconveniente semnificative în funcționarea dispozitivelor De exemplu, este de dorit să se realizeze capace și ecrane de protecție care să protejeze dispozitivele de apelare, comutatoare și comutatoare dintr-un material transparent și durabil care vă permite să controlați starea comenzilor fără a îndepărta (deschide) structurile de protecție Controlul deschiderii echipamentului este asigurat prin utilizarea unor circuite electrice simple, similare sistemelor de alarmare antiefractie Controlul deschiderii este asigurat prin utilizarea senzorilor de tip contact Sunt instalate pe toate structurile detașabile și cu deschidere prin care este posibil accesul la instalația internă a dispozitivelor, elementelor de control și comutare Senzorii sunt combinați într-un singur sistem de monitorizare a deschiderii dispozitivelor (SKVU) folosind linii cablate La construirea unor astfel de sisteme, sunt rezolvate două sarcini interdependente: asigurarea conținutului maxim de informații al sistemului și minimizarea numărului de linii de cablu Conținutul maxim de informații al unui SKVU automat se realizează în sisteme care permit determinarea faptului de deschidere a unei structuri de protecție specifice pe un anumit dispozitiv Cu toate acestea, în multe cazuri, este suficient să primiți un semnal către administratorul sistemului de securitate de serviciu că dispozitivul a fost deschis pentru a lua măsurile adecvate O încălcare specifică a integrității externe a dispozitivului este determinată la fața locului Acest lucru poate fi facilitat prin monitorizarea integrității semnelor speciale de protecție pe structurile de protecție Semnele speciale de protecție sunt realizate sub formă de materiale, substanțe, benzi autoadezive, autocolante, sigilii autoadezive Integritatea semnelor speciale de protecție este determinată de aspectul lor și de anumite caracteristici care pot fi controlate prin mijloace tehnice Echipamentele speciale de protecție pe structurile de protecție servesc ca un indicator suplimentar al deschiderii Monitorizarea periodică a integrității echipamentelor speciale de protecție face posibilă (cel puțin cu o oarecare întârziere) detectarea unei încălcări a integrității externe a dispozitivului în absența sau ocolirea hardware-ului TLCS de către un atacator Dacă rezoluția SKVU este limitată de dispozitiv, atunci numărul de linii de cablu este redus semnificativ În acest caz, senzorii cu contacte normal închise ale tuturor structurilor de protecție ale dispozitivului sunt conectați în serie Dacă este posibil, este de dorit să se deghizeze liniile cu fir ale SCWU ca linii ale căilor de informații ale dispozitivelor Faptul de a scoate conectorul poate fi ușor de fixat Pentru a face acest lucru, este suficient să alocați un contact al conectorului în scopul controlului Când conectorul este scos, linia SKVU este întreruptă Controlul integrității programelor și datelor se realizează prin aceleași metode Programele executabile se schimbă extrem de rar în stadiul de funcționare Există o clasă destul de largă de programe pentru care toate sau o parte din datele sursă se modifică rar Prin urmare, controlul integrității unor astfel de fișiere se realizează în același mod ca și controlul aplicațiilor Controlul integrității software-ului și datelor se realizează prin obținerea (calcularea) caracteristicilor și compararea acestora cu caracteristicile de control Benchmark-urile sunt calculate de fiecare dată când fișierul corespunzător este modificat Caracteristicile sunt calculate în funcție de anumiți algoritmi Cel mai simplu algoritm este suma de verificare Fișierul binar controlat este împărțit în cuvinte, constând de obicei dintr-un număr par de octeți Toate cuvintele binare sunt adăugate pe biți cu acumulare modulo , formând ca rezultat o sumă de control Lățimea de biți a sumei de control este egală cu lățimea de biți a cuvântului binar Algoritmul pentru obținerea sumei de control poate diferi de cel dat, dar, de regulă, nu este complicat și poate fi obținut din suma de control disponibilă și fișierul corespunzător O altă abordare pentru obținerea caracteristicilor de integritate este legată de utilizarea codurilor ciclice Când se utilizează această metodă, secvența binară originală este reprezentată ca un polinom F(x) de gradul u - , unde n este numărul de biți din secvență Pentru polinomul generator ales P(x), putem scrie următoarea egalitate: F(x)x(tm) = G(x)P(x) + R(x), unde m este gradul polinomului generator, ( (x), A(x) sunt, respectiv, câtul și restul împărțirii / (x)xm la P(x) Din relația de mai sus se poate obține o nouă expresie: f(x)xw - R(x) = ( (x)P(x) Din ultima expresie, putem concluziona: dacă polinomul inițial este mărit cu x " (deplasarea către cele mai mari cifre cu m cifre) și adăugat cu restul ? (x) modulo , atunci polinomul rezultat va fi împărțit fără o rest de polinomul generator P (x) La verificarea integrității informațiilor, secvența controlată (sector de pe disc, fișier etc ), deplasată cu m biți, este împărțită la polinomul generator selectat, iar restul rezultat este stocat, care se numește sindrom Sindromul este păstrat ca referință La verificarea integrității, sindromul este adăugat la polinomul secvenței controlate și se efectuează împărțirea după polinomul generator Dacă restul diviziunii este zero, atunci se consideră că integritatea secvenței controlate nu este încălcată Capacitatea de detectare a metodei depinde de gradul polinomului generator și nu depinde de lungimea secvenței controlate Cu cât este mai mare gradul polinomului, cu atât este mai mare probabilitatea de a determina modificări în d, care se determină din relația d = l/ m Utilizarea sumelor de control și a codurilor ciclice, precum și a altor metode similare, are un dezavantaj semnificativ Algoritmul de obținere a caracteristicilor de control este bine cunoscut, astfel încât utilizatorul poate face modificări pentru ca caracteristica de control să nu se modifice (de exemplu, prin adăugarea de coduri) Există o metodă care vă permite să eliminați virtual posibilitatea unor modificări necontrolate ale informațiilor din CS Pentru a face acest lucru, trebuie să utilizați o funcție hash O funcție hash este o procedură pentru obținerea unei caracteristici de control a unei secvențe binare bazată pe însumarea controlului și transformările criptografice Algoritmul funcției hash este dat în GOST R - Algoritmul nu este secret, precum și algoritmul de transformare criptografică utilizat pentru a obține funcția hash, stabilit în GOST - Datele inițiale pentru calcularea funcției hash sunt secvența binară originală și vectorul hash de pornire Vectorul hash de pornire este o secvență binară de de biți Trebuie să fie inaccesibil unui atacator Vectorul este fie criptat, fie stocat în afara CS Procesul iterativ de calcul al funcției hash H oferă: • generarea a patru chei (cuvinte lungi de de biți); • transformarea criptării folosind cheile valorii curente I prin metoda simplă de înlocuire (GOST - ); • amestecarea rezultatelor; • sumare pe biți modulo cuvinte cu lungimea de de biți din secvența originală; • calculul funcţiei H Rezultatul este o funcție hash cu o lungime de de biți Valoarea hash poate fi stocată împreună cu informațiile controlate, deoarece un atacator, fără un vector hash de pornire, nu poate obține o nouă funcție hash corectă după ce a făcut modificări la secvența originală Este aproape imposibil să obțineți vectorul de pornire din funcția hash Pentru fiecare secvență binară, sunt utilizate două caracteristici de control: un vector de pornire și o funcție hash Când se controlează prin vectorul de pornire și secvența controlată, valoarea funcției hash este calculată și comparată cu valoarea de control În sistemele existente, caracteristica de control este stocată nu numai în computer, ci și în ROM-ul offline al utilizatorului Memoria pentru citire este de obicei inclusă cu un card sau un token folosit pentru a identifica un utilizator Astfel, în sistemul Accord- , funcțiile hash sunt calculate pentru fișierele controlate și stocate într-un fișier special într-un PC, iar funcția hash calculată pentru un fișier special este stocată într-o arhivă de date După finalizarea lucrărilor pe computer, caracteristicile de control ale fișierelor sunt înregistrate pe cardul sau jetonul utilizatorului La intrarea în sistem, caracteristicile de control sunt citite din ROM-ul cardului sau jetonului și comparate cu caracteristicile calculate din fișierele controlate Pentru ca modificările fișierelor să rămână neobservate, un atacator trebuie să schimbe caracteristicile de control atât în PC, cât și pe card sau token, ceea ce este practic imposibil dacă utilizatorul urmează reguli simple Ca exemple de programe individuale care măresc securitatea CS de la accesul neautorizat, se pot cita utilități din pachetul Norton Utilities, precum programul de criptare a informațiilor la scrierea pe disc Diskreet sau Secret disk, programul de ștergere a informațiilor din Wipelnfo disc, programul de control al accesului la disc Disk Monitor etc Dezvoltatorii autohtoni oferă sisteme de protecție software pentru PC-uri "Sneg- ", "Cobra", "Guardian- ", etc Ca exemple de instrumente interne de protecție hardware și software care au un certificat de la Comisia Tehnică de Stat a Rusiei, putem cita sistemele Accord- , DALLAS LOCK , Redut, DIZ- Amenințarea accesului neautorizat determină protecția software-ului în timpul funcționării Crearea de copii ale software-ului pentru studiu sau utilizare neautorizată se realizează folosind dispozitive de ieșire sau canale de comunicare Unul dintre cele mai comune canale pentru copierea neautorizată este utilizarea suporturilor magnetice amovibile Amenințarea cu copierea neautorizată a informațiilor este blocată în două moduri: • îngreunarea citirii informațiilor copiate; • împiedicarea utilizării informaţiei Metodele care fac dificilă citirea informațiilor copiate se bazează pe acordarea de caracteristici procesului de scriere a informațiilor care nu permit citirea copiei primite pe alte unități care nu sunt incluse în CS-ul protejat Acestea au scopul de a crea compatibilitate cu unitățile numai în cadrul instalației CS trebuie să aibă un computer care încorporează unități standard și non-standard Pe acest computer, introducerea (ieșirea) informațiilor este efectuată pentru schimbul cu alte CS, iar informațiile sunt, de asemenea, rescrise de pe medii standard în medii non-standard și invers Cea mai simplă soluție este marcarea (formatarea) non-standard a mediului de stocare Modificarea lungimii sectoarelor, a distanțelor dintre sectoare, a ordinii de numerotare a sectoarelor și a altor metode de formatare non-standard a dischetelor fac dificilă utilizarea acestora cu instrumentele standard ale sistemului de operare Formatarea personalizată protejează numai împotriva suporturilor de stocare standard Utilizarea instrumentelor software speciale (de exemplu, DISK EXPLORER pentru IBM - PC-uri compatibile) vă permite să obțineți caracteristicile formatării non-standard Reprogramarea controlerelor VSD, ajustările hardware și setările cauzează defecțiuni ale echipamentului atunci când se utilizează medii pe VVD standard, dacă formatarea și înregistrarea informațiilor au fost efectuate pe un VVD non-standard Exemplele includ modificări ale algoritmului standard pentru calcularea sumei de control și funcționarea sistemului de poziționare pentru unitățile de dischete În controlerele de unitate, suma de control a datelor sectorului este calculată și scrisă Dacă schimbăm algoritmul în conturi de sumă de control, atunci va fi imposibil să citiți informațiile de pe o unitate standard din cauza defecțiunilor Metodele care împiedică utilizarea informațiilor copiate sunt concepute pentru a face dificilă sau imposibilă utilizarea datelor obținute prin copiere Informațiile copiate pot fi programe sau date Datele și programele pot fi protejate dacă sunt stocate pe VSD într-o formă convertită prin metode criptografice Programele pot fi, de asemenea, protejate împotriva executării și replicării neautorizate, precum și împotriva cercetării Cea mai eficientă metodă (după transformarea criptografică) de a contracara execuția neautorizată a programelor copiate este utilizarea blocului de control al mediului de găzduire a programului Blocul de control al mediului de găzduire este o parte suplimentară a programelor Este creat în timpul instalării (instalării) programelor Include caracteristici ale mediului în care este găzduit programul, precum și mijloace de obținere și comparare a caracteristicilor Ca caracteristici, se folosesc caracteristicile calculatorului și ale mediului de stocare - caracteristicile arhitecturii computerului: tipul și frecvența procesorului central, numărul procesorului (dacă există), compoziția și caracteristicile dispozitivelor externe, caracteristicile conexiunii lor, modurile de funcționare ale blocurilor și dispozitivelor etc Mijloacele date de protecție împotriva utilizării neautorizate a dischetelor sunt eficiente împotriva metodelor standard de creare a copiei (COPY, XCOPY, Diskcopy, Pctools, Norton Utilities în MS DOS etc ) Cu toate acestea, există instrumente software (COPYWRITE, DISK EXPLORER) care vă permit să creați copii complet identice ale dischetelor cu reproducerea tuturor caracteristicilor unice Metoda de protecție dată nu poate fi considerată absolut ineficientă, deoarece complexitatea depășirii protecției este mare și cerințele pentru calificările unui cracker sunt ridicate Algoritmul general al mecanismului de protecție împotriva utilizării neautorizate a programelor într-un mediu de găzduire "străin" este redus la următoarea secvență de acțiuni Stocarea unui set de caracteristici individuale de control ale unui computer și (sau) a unui mediu de stocare amovibil în etapa instalării unui program protejat La lansarea programului protejat, controlul este transferat către unitatea de control a mediului de găzduire Blocul colectează și compară caracteristicile mediului gazdă cu caracteristicile de control Dacă comparația a avut succes, atunci programul este executat, în caz contrar, urmează un refuz de a executa, care poate fi completat cu executarea de acțiuni distructive în cu privire la acest program, ceea ce duce la imposibilitatea executării acestui program, dacă o astfel de autodistrugere este permisă de sistemul de operare Conectarea programelor la mediul de găzduire necesită reinstalarea acestora după actualizare, schimbarea structurii sau repararea CS-ului cu înlocuirea dispozitivelor Cheile electronice pot fi folosite și pentru a proteja împotriva utilizării neautorizate a programelor Cheia HASP are dimensiunea unei cutii de chibrituri și se conectează la portul paralel al imprimantei Imprimanta este conectată la computer printr-o cheie electronică Tasta nu are niciun efect asupra funcționării imprimantei Cheia este distribuită cu aplicația protejată Programul de la început și în timpul execuției citește informațiile de control din cheie Dacă cheia lipsește, execuția programului este blocată Protecția software-ului de cercetare se bazează pe metodologia studierii logicii programului Poate fi implementat în unul din două moduri: static și dinamic Esența modului static este studierea codului sursă al programului Pentru a obține liste de cod sursă, modulul de program executabil este dezasamblat, adică obțineți dintr-un program în limbaj de mașină un program în limbaj de asamblare Modul dinamic de studiere a algoritmului programului implică executarea unui program de urmărire - executarea unui program pe un computer folosind instrumente speciale care vă permit să executați programul într-un mod pas cu pas, accesarea registrelor, zonele de memorie, oprirea programului la anumite adrese etc Studiul algoritmului programului se realizează fie în procesul de urmărire, fie în funcție de datele de urmărire, care sunt înregistrate în dispozitivul de stocare Instrumentele anti-dezasamblare nu pot proteja un program de urmărire și invers: programele care sunt protejate doar de urmărire pot fi dezasamblate Prin urmare, pentru a proteja programele de control, este necesar să existe mijloace care să contracareze atât dezasamblarea, cât și urmărirea Există mai multe metode pentru a contracara dezasamblarea: • criptare; • arhivare; • utilizarea codurilor autogenerate; • "amăgirea" dezasamblatorului Criptarea implică transformarea textului sursă al programului în criptat program criptat nu poate fi dezasamblat fără decriptare Criptarea (decriptarea) programelor poate fi efectuată de hardware sau de programe separate O astfel de criptare este utilizată înainte ca programul să fie transmis prin canale de comunicație sau atunci când este stocat pe VSD Dezasamblarea programelor în acest caz este posibilă numai atunci când se obține accesul la programul decriptat care se află în OP înainte de executarea acestuia (dacă se consideră că este imposibil de depășit protecția criptografică) O altă abordare a protecției împotriva dezasamblarii este legată de combinarea procesului de decriptare cu procesul de execuție a programului Dacă decriptarea întregului program este efectuată de blocul care primește primul control, atunci un astfel de program este destul de ușor de decriptat Este mult mai dificil să decriptați și să dezasamblați un program care decriptează informații în etape, iar etapele sunt distanțate pe măsură ce programul rulează Sarcina devine și mai dificilă dacă procesul de decriptare este distanțat în tot textul programului Arhivarea este procesul de comprimare a informațiilor Poate fi combinat cu criptarea Combinația acestor metode face posibilă obținerea de programe compacte închise în siguranță Esența metodei bazată pe utilizarea codurilor autogenerate este că codurile executabile ale programului sunt obținute de programul însuși în timpul execuției sale Codurile autogenerate sunt obținute ca urmare a anumitor acțiuni pe o matrice de date special selectată Codurile executabile ale programului în sine sau o matrice de date special pregătită pot fi folosite ca date inițiale Această metodă și-a demonstrat eficiența ridicată, dar este dificil de implementat Trișarea dezasamblatorului este înțeleasă ca un stil de programare care provoacă o încălcare a funcționării corecte a dezasamblatorului standard din cauza metodelor nestandard de utilizare a comenzilor individuale, încălcând convențiile general acceptate "Înșelarea" dezasamblatorului se realizează în următoarele moduri: • structura non-standard a programului; • Salturi ascunse, apeluri de procedura, intoarceri de la acestea si din intreruperi; • salturi și apeluri la subrutine la adrese care se schimbă dinamic; • modificarea codurilor executabile Tranzițiile, apelurile și returnările ascunse sunt adesea folosite pentru a dezorienta dispozitivul de dezasamblare prin utilizarea capacităților de comandă non-standard Acțiunile ascunse sunt adesea efectuate folosind stive Urmărirea programelor se face de obicei folosind produse software numite depanare Scopul lor principal este de a detecta erorile din programe Atunci când se analizează algoritmii de program, sunt utilizate caracteristici ale depanatoarelor cum ar fi execuția pas cu pas (comandă cu comandă) a programelor, capacitatea de a opri la un punct de întrerupere În prezența instrumentelor moderne de depanare a programelor, este imposibil să se excludă complet posibilitatea de a studia algoritmul programului, dar este posibil să se complice semnificativ trasarea Scopul principal al contracarării urmăririi este de a crește numărul și complexitatea operațiunilor manuale care trebuie efectuate de un programator analist Pentru a contracara urmărirea programului în timpul construcției sale, se folosesc următoarele tehnici și metode: • schimbarea mediului de operare; • modificarea codurilor programului; • tranziții aleatorii Schimbarea mediului de operare înseamnă interzicerea sau redefinirea întreruperilor (dacă este posibil), schimbarea modurilor de operare, a stării registrelor de control, a declanșatorilor etc Astfel de modificări obligă analistul să urmărească modificările și să restabilească manual mediul de operare Modificarea codurilor de program, de exemplu, în proceduri, duce la faptul că fiecare execuție a procedurii este efectuată de-a lungul diferitelor ramuri ale algoritmului Salturile aleatorii sunt efectuate prin calcularea adreselor de salt Datele inițiale pentru aceasta sunt caracteristicile mediului de operare, sumele de control ale procedurilor (modificate) etc Includerea unor astfel de mecanisme în textul programelor complică semnificativ studiul algoritmilor programului prin urmărirea acestora Metode și mijloace de organizare a stocării și procesării informațiilor în CS Asigurarea stocării și procesării cheilor și a altor informații în CS se realizează cu ajutorul CSIS, care sunt create pentru a efectua măsuri de securitate organizațională, opera mijloace tehnice, software și criptografice de protecție, precum și pentru a monitoriza implementarea reguli stabilite pentru funcționarea CS de către personalul de întreținere și utilizatori Astfel de structuri fac parte din serviciile de securitate ale departamentelor, corporațiilor, firmelor, organizațiilor Ele pot avea compoziție cantitativă și structură internă diferite Poate fi un departament, un grup sau un individ executiv Exploatarea directă a mijloacelor de protecție și implementarea măsurilor organizatorice se realizează de către autoritățile de securitate a informațiilor situate la unitățile CS - autoritățile de securitate a informațiilor (OBI) Dacă obiectele COP sunt situate pe același teritoriu cu alte obiecte ale departamentului, corporației, firmei, atunci unele dintre funcții, cum ar fi securitatea, informațiile, contrainformații și altele, sunt îndeplinite de departamentele relevante ale serviciului de securitate Subdiviziunea OBI poate fi organizatorică și poate face parte din centre de calcul sau departamente de automatizare Totodată, serviciile de securitate păstrează funcțiile de monitorizare și suport metodologic pentru funcționarea CSIS Compoziția cantitativă și structura organismului OBI sunt determinate după finalizarea dezvoltării CSIS La crearea unui corp OBI, sunt utilizate următoarele date: • statutul oficial al CS și informațiile procesate în sistem; • lista măsurilor organizaționale de protecție și caracteristicile acestora; • nivelul de automatizare CSIS; • caracteristici ale structurii tehnice și ale modurilor de funcționare ale COP Organismele OBI sunt create în conformitate cu legislația Federației Ruse, care reglementează relația dintre cetățeni și entitățile juridice din domeniul tehnologiei informației În funcție de proprietar, confidențialitatea și importanța informațiilor prelucrate în CS, se determină statutul juridic al CS în sine și al organismului OBI În conformitate cu statutul organului OBI, se stabilesc drepturile și obligațiile legale ale acestuia, precum și procedura de interacțiune cu organele statului care asigură securitatea informațiilor în stat La crearea organismelor OBI, acestea sunt, de asemenea, ghidate de cerințele statutului (decrete ale Guvernului Federației Ruse, decizii ale Comisiei Tehnice de Stat a Rusiei și FAPSI, GOST-uri etc ), precum și documentele de guvernare ale departamente Ca urmare a dezvoltării CSIS, se stabilește o listă de măsuri organizatorice pentru protejarea informațiilor, care sunt acțiuni efectuate de angajații serviciilor de securitate, organele OBI, personalul de întreținere și utilizatori Măsurile de protecție organizațională sunt împărțite în: • la măsurile de protecţie care vizează direct asigurarea SI; • măsuri operaţionale legate de organizarea funcţionării sistemelor complexe Marea majoritate a măsurilor de protecție sunt legate de întreținerea tehnică, software și criptografică mijloace de protectie Exemple de astfel de măsuri sunt: utilizarea parolelor și a identificatorilor materiale, controlul accesului la resursele informaționale prin efectuarea anumitor acțiuni la primirea unui semnal despre încălcarea regulilor de control al accesului și analiza jurnalului de control, duplicarea și restaurarea informațiilor , etc Unele funcții ale sistemului de protecție pot fi implementate doar prin măsuri organizatorice De exemplu, un controlor poate accesa o cameră cu resurse de informații Apărarea împotriva incendiilor se realizează prin apelarea pompierilor, evacuarea resurselor informaționale, utilizarea echipamentelor de stingere a incendiilor Măsurile operaționale sunt înțelese ca un ansamblu de măsuri legate de necesitatea funcționării tehnice a unui sistem de securitate a informațiilor ca subsistem al unui sistem complex om-mașină Caracteristicile structurii tehnice a KSZI și KS, precum și modurile lor de funcționare, afectează numărul de locuri de muncă pentru operatorii KSZI și modul de funcționare al operatorilor Cu un grad ridicat de automatizare a funcțiilor de protecție, numărul de operatori poate fi menținut la minimum Cu funcționarea non-stop, numărul operatorilor CSIS crește în consecință Structura organizatorică și de personal a subdiviziunii OBI este precizată în procesul de analiză a gradului de automatizare a sistemului de protecție, precum și a modurilor de funcționare a CS Totodată, se rezolvă și problema repartizării responsabilităților pentru funcționarea instalațiilor de securitate a informațiilor între personalul de întreținere și funcționarii subdiviziunii OBI Astfel, stația de lucru a operatorului de serviciu al unității de securitate a informațiilor poate fi deservită de specialiști ai departamentului de întreținere, deoarece un astfel de loc de muncă, de regulă, nu diferă în structura tehnică de locurile de muncă ale altor utilizatori În același timp, dispozitivele de criptoprotecție, ținând cont de caracteristicile de proiectare și de cerințele crescute pentru restricționarea accesului la acestea, de regulă, sunt deservite de specialiști din divizia OBI În organizațiile mici care utilizează CS securizate, funcțiile de asigurare a securității informațiilor și a funcționării tehnice pot fi îndeplinite de un oficial, de exemplu, un administrator LAN În procesul de creare a subdiviziunilor OBI: • se stabilesc structura organizatorica, drepturile si obligatiile functionarilor; • locurile de muncă ale funcționarilor sunt dotate; • oficialii sunt instruiți în activități practice cu CSIS; • se elaborează documentația necesară; • se determină sistemul de control CSIS Structura organizatorică și de personal determină lista de funcții, subordonarea unității și funcționarii unității Fiecărui funcționar îi sunt atribuite drepturile și obligațiile în conformitate cu funcția sa Locurile de muncă ale funcționarilor subdiviziunii OBI sunt dotate cu mijloacele primite de la dezvoltatori (panouri de control, monitoare, dotări de telecomandă etc ) În plus, locurile de muncă ar trebui să aibă echipamente de comunicare, instrucțiuni, documentație operațională, precum și echipamente de stingere a incendiilor Suportul documentar este creat pe baza legilor, a decretelor Guvernului Federației Ruse, a deciziilor Comisiei Tehnice de Stat a Rusiei, a GOST, a directivelor departamentale, a instrucțiunilor și a materialelor metodologice În plus, se folosește documentația obținută cu măsurile de securitate instalate În timpul funcționării KSZI, documentele sunt elaborate și menținute de către departamentele OBI Protecția software-ului împotriva controlului, infecției cu virusuri, acțiunilor și modificărilor software distructive Principalele caracteristici de clasificare a virușilor informatici Protecția împotriva virușilor informatici și a altor acțiuni și modificări ale programului este o direcție independentă în protecția proceselor de prelucrare a informațiilor din CS Subestimarea acestui pericol poate avea consecințe grave asupra informațiilor utilizatorilor Cunoașterea mecanismelor de acțiune a virușilor, a metodelor și a mijloacelor de combatere a acestora vă permite să organizați eficient combaterea virușilor, să minimizați probabilitatea de infecție și pierderile din impactul acestora Virușii informatici sunt mici programe executabile sau interpretate care au proprietatea de propagare și auto-replicare (replicare) în CS Virușii pot modifica sau distruge software-ul sau datele stocate în CS În procesul de distribuție, virușii se pot modifica singuri În prezent, în lume există câteva zeci de mii de viruși informatici înregistrați Toți virușii informatici sunt clasificați (vezi capitolul ): • după habitat; • modul în care este contaminat mediul; • gradul de pericol al impacturilor distructive (dăunătoare); • algoritm de funcționare După habitat, virușii informatici sunt împărțiți în rețea, fișier, boot și combinați Habitatul virușilor de rețea sunt elemente ale rețelelor de calculatoare Virușii de fișiere se află în fișiere executabile Virușii de pornire se află în sectoarele (zonele) de pornire ale dispozitivelor de stocare externe (sectoarele de pornire) Virușii de boot sunt uneori numiți viruși de boot Virușii combinați sunt găzduiți în mai multe habitate Virușii boot-file sunt un exemplu de astfel de viruși Acești viruși pot locui atât în sectoarele de boot ale unităților de disc magnetice, cât și în corpul fișierelor de boot Conform metodei de infectare a mediului, virușii informatici sunt împărțiți în rezidenți și nerezidenți Virușii rezidenți, după activarea lor, se mută complet sau parțial din habitatul lor (rețea, sector de boot, fișier) în memoria RAM a computerului Acești viruși, folosind, de regulă, moduri de operare privilegiate permise numai de sistemul de operare, infectează mediul și, în anumite condiții, implementează o funcție distructivă Spre deosebire de virușii rezidenți, virușii nerezidenți intră în memoria RAM a aeronavei doar pe durata activității lor, timp în care îndeplinesc o funcție distructivă și funcția de infecție Apoi virușii părăsesc complet memoria RAM, rămânând în habitat Dacă un virus plasează programe în RAM care nu infectează mediul, atunci un astfel de virus este considerat nerezident Arsenalul efectelor nocive ale virușilor informatici este foarte extins Ele depind de obiectivele și calificările creatorului lor, precum și de caracteristicile CS În funcție de gradul de pericol al impactului distructiv (dăunător) asupra resurselor informaționale ale utilizatorului, virușii informatici se împart în inofensivi, periculoși și foarte periculoși Virușii informatici inofensivi sunt creați de autori care nu își propun scopul de a provoca daune resurselor CS Ei, de regulă, sunt conduși de dorința de a-și arăta abilitățile de programator Cu alte cuvinte, crearea de viruși informatici pentru astfel de oameni este un fel de încercare de autoafirmare Efectul nociv al unor astfel de viruși se reduce la afișarea de texte și imagini nevinovate pe ecranul monitorului, interpretarea de fragmente muzicale etc Cu toate acestea, în ciuda aparentei inofensive a unor astfel de viruși, aceștia provoacă unele daune COP În primul rând, astfel de viruși resursele CS sunt reduse, reducând într-o oarecare măsură eficiența funcționării acestuia În al doilea rând, virușii informatici pot conține erori care provoacă consecințe periculoase pentru resursele informaționale ale CS În plus, la actualizarea sistemului de operare sau a hardware-ului CS, virușii creați mai devreme pot duce la încălcări ale algoritmului obișnuit al sistemului Virușii periculoși îi includ pe cei care provoacă o scădere semnificativă a eficacității CS, dar nu duc la încălcarea integrității și confidențialității informațiilor stocate în dispozitivele de stocare Consecințele unor astfel de viruși pot fi eliminate fără a cheltui prea mult resurse materiale și de timp Exemple de astfel de viruși sunt virușii care ocupă memoria computerului și canalele de comunicare, dar nu blochează funcționarea rețelei; viruși care provoacă necesitatea reexecuției de programe, repornirea sistemului de operare sau retransmiterea datelor prin canale de comunicație etc Virușii care provoacă încălcarea confidențialității, distrugerea, modificarea ireversibilă (inclusiv criptarea) informațiilor, precum și virușii care blochează accesul la informații, duc la defecțiuni hardware, provoacă funcționarea defectuoasă a acestora și dăunează sănătății utilizatorilor, ar trebui considerați foarte periculoși Astfel de viruși șterg fișiere individuale, zone de memorie de sistem, formatează discuri, obțin acces neautorizat la informații, criptează datele etc Unii autori sugerează că la frecvența de rezonanță, părțile mobile ale dispozitivelor electromecanice, de exemplu, în sistemul de poziționare al unei unități de disc magnetice, pot fi distruse Acesta este modul care poate fi creat folosind un program antivirus Alți autori susțin că este posibil să se stabilească moduri de utilizare intensivă a circuitelor electronice individuale (de exemplu, circuite integrate mari), în care acestea se supraîncălzi și eșuează Utilizarea memoriei permanente reinscriptibile în PC-urile moderne a dus la apariția virușilor care modifică programele BIOS, ceea ce necesită înlocuirea dispozitivelor de stocare permanente De asemenea, este posibil să influențezi psihicul unei persoane - un operator de computer, selectând o imagine video afișată pe ecranul monitorului cu o anumită frecvență (fiecare al -lea cadru) Cadrele încorporate ale acestor informații video sunt percepute de o persoană la nivel subconștient Ca urmare a unei astfel de expuneri, este posibilă deteriorarea gravă a psihicului uman Conform algoritmului de funcționare, virușii informatici sunt împărțiți în viruși care nu își schimbă habitatul (fișiere și sectoare) când se răspândesc și virușii care schimbă habitatul atunci când se răspândesc La rândul lor, virușii care nu își schimbă habitatul sunt împărțiți în viruși "însoțitori" și viruși "viermi" Virușii sateliti nu modifică fișierele Mecanismul lor de acțiune este de a crea copii ale fișierelor executabile De exemplu, în MS DOS, astfel de viruși creează copii pentru fișierele cu extensia EXE Copia primește același nume ca și executabilul, dar extensia este schimbată în COM Când rulați un fișier cu un nume comun, sistemul de operare încarcă mai întâi fișierul cu extensia COM, care este un program de virus, pentru execuție Fișierul virus lansează apoi un fișier cu extensia EXE Virușii-"viermi" intră în stația de lucru din rețea, calculează adresele de distribuție a virusului către alți abonați ai rețelei și efectuează transmiterea virusului Virusul nu modifică fișierele și nu se scrie în sectoarele de boot de pe disc Unii viruși - "viermi" creează copii de lucru ale virusului pe disc, alții - sunt localizați numai în memoria principală a computerului În funcție de complexitatea, gradul de perfecțiune și caracteristicile algoritmilor de mascare, virușii care schimbă mediul sunt împărțiți în viruși studenți, "stealth" (virusuri invizibili) și polimorfi Studenții includ viruși ai căror creatori au calificări scăzute Astfel de viruși, de regulă, sunt nerezidenți, conțin adesea erori și sunt destul de ușor de detectat și îndepărtat Virușii "stealth" și virușii polimorfi sunt creați de specialiști calificați, care cunosc bine principiul de funcționare a hardware-ului și a sistemului de operare, precum și au abilitățile de a lucra cu sisteme de programare orientate spre mașină Virușii ascunși își maschează prezența în mediu interceptând apelurile sistemului de operare către fișierele și sectoarele afectate și redirecționând sistemul de operare către zone de informații neinfectate Virusul este rezident, se deghizează în programe de sistem de operare și se poate mișca în memorie Astfel de viruși sunt activați atunci când apar întreruperi, efectuează anumite acțiuni, inclusiv mascarea, și numai atunci controlul este transferat către programele OG care procesează aceste întreruperi Virușii stealth au capacitatea de a contracara antivirușii rezidenți Virușii polimorfi nu au grupuri de identificare permanente - semnături Virușii obișnuiți sunt plasați într-un obiect infectat pentru a recunoaște faptul de infectare a habitatului o secvență binară de identificare socială sau o secvență de caractere (semnătură) care identifică în mod unic infectarea unui fișier sau sector Semnăturile sunt folosite în stadiul de propagare a virusului pentru a evita infecțiile multiple ale acelorași obiecte, deoarece probabilitatea de a detecta un virus crește semnificativ atunci când un obiect este infectat în mod repetat Pentru a elimina semnele de demascare, virușii polimorfi folosesc criptarea corpului virusului și modificarea programului de criptare Datorită acestei transformări, virușii polimorfi nu au potriviri de cod Orice virus, indiferent de apartenența la anumite clase, trebuie să aibă trei module funcționale: un modul de infecție (răspândire), un modul de mascare și un modul de distrugere Împărțirea în module funcționale înseamnă că comenzile programului virus care îndeplinesc una dintre cele trei funcții aparțin unui anumit modul, indiferent de locația comenzilor în corpul virusului După ce controlul este transferat virusului, de regulă, sunt efectuate anumite funcții ale blocului de mascare (de exemplu, corpul virusului este decriptat) Virusul îndeplinește apoi funcția de a se introduce într-un habitat neinfectat Dacă virusul trebuie să efectueze acțiuni distructive, atunci acestea sunt efectuate fie necondiționat, fie în anumite condiții Blocul de mascare termină întotdeauna virusul În acest caz, de exemplu, se efectuează următoarele acțiuni: criptarea virușilor (dacă funcția de criptare este implementată), restaurarea vechii date de modificare a fișierului, restaurarea atributelor fișierului, ajustarea tabelelor OS etc Ultima comandă a virusului este comanda de trecere la execuția fișierelor infectate sau la execuția programelor OS Cataloagele de viruși sunt utilizate pentru confortul de a lucra cu viruși cunoscuți Catalogul conține următoarele informații despre proprietățile standard ale virusului: numele, lungimea, fișierele infectate, locul de injectare în fișier, metoda de infecție, metoda de injectare pentru viruși rezidenți, efectele cauzate, prezența (absența) unei funcții distructive și erori Prezența directoarelor vă permite să specificați numai proprietăți speciale atunci când descrieți viruși, omițând proprietățile și acțiunile standard Unii viruși informatici Virușii de fișiere sunt localizați în fișierele CS și pot infiltra numai fișiere executabile: fișiere batch (fișiere care constau în comenzi ale sistemului de operare), auto-extractoare fișiere, programe de utilizator și de sistem în coduri de mașină, precum și documente (tabele) cu macrocomenzi Macro-urile (macro-urile) sunt programe executabile pentru automatizarea lucrului cu documente (tabele) Prin urmare, astfel de documente (tabele) pot fi considerate ca un fișier executabil Pentru PC-urile compatibile cu IBM, un virus poate infecta fișiere de următoarele tipuri: fișiere batch (BAT), drivere încărcabile (SYS), programe în coduri de mașină (binare) (EXE, COM), documente Word (DOC) din versiunea și mai sus, tabele EXCEL (XLS) Virușii macro pot fi, de asemenea, încorporați în alte fișiere care conțin comenzi macro Virușii de fișiere pot fi plasați la începutul, mijlocul și sfârșitul fișierului infectat, dar anteturile lor sunt de obicei plasate la începutul fișierului Astfel, indiferent de locația virusului în corpul fișierului infectat, după ce controlul este transferat în fișier, comenzile virusului sunt executate mai întâi Virusul este introdus la începutul fișierului într-unul din trei moduri Prima dintre ele constă în rescrierea începutului fișierului până la sfârșit, iar în spațiul eliberat este scris un virus A doua metodă implică citirea virusului și a fișierului infectat în RAM, îmbinarea lor într-un singur fișier și scrierea acestuia în locul fișierului Cu a treia metodă de infectare, virusul este scris la începutul fișierului fără a salva conținutul În acest caz, fișierul infectat devine inoperabil În mijlocul unui fișier, un virus poate fi scris și în diferite moduri Fișierul poate fi "împrăștiat", iar un virus poate fi scris în spațiul eliberat Un virus se poate injecta în mijlocul unui fișier fără a salva porțiunea din fișier în care este plasat virusul Există modalități mai exotice de a injecta un virus în mijlocul unui fișier De exemplu, virusul Mutant folosește o metodă de comprimare a secțiunilor individuale ale unui fișier, în timp ce lungimea fișierului după introducerea virusului poate să nu se modifice Cel mai adesea, virusul este încorporat la sfârșitul fișierului În acest caz, ca și în cazul introducerii unui virus în mijlocul fișierului, primele comenzi ale fișierului sunt înlocuite cu comenzi pentru săritul în corpul virusului Algoritmul generalizat de infectare a fișierelor poate fi reprezentat după cum urmează Un virus rezident verifică dacă memoria RAM este infectată și, dacă este necesar, o infectează Un virus nerezident caută fișiere neinfectate și le infectează Se întreprind acțiuni pentru păstrarea operabilității programului în care virusul este introdus în fișier (restaurarea primilor octeți ai programului, setarea adreselor programului etc ) Funcția de distrugere a virusului este efectuată, iar controlul este transferat programului în fișierul în care se află virusul La implementarea anumitor viruși, secvența și setul de acțiuni pot diferi de cele date în algoritm Virușii macro ocupă un loc special printre virușii de fișiere Virușii macro sunt programe rău intenționate scrise în limbi macro încorporate în editori de text, foi de calcul etc Pentru ca virușii să existe într-un anumit sistem (editor), este necesar ca limbajul macro integrat în acesta să aibă: • conectarea unui program de limbaj macro la un anumit fișier; • copierea programelor macro dintr-un fișier în altul; • Obținerea controlului macro fără intervenția utilizatorului Astfel de condiții sunt îndeplinite de editorii MS WORD, MS OFFICE, AMI PRO, procesorul de foi de calcul MS EXCEL Aceste sisteme folosesc limbajele macro WORD BASIC și VISUAL BASIC Când anumite acțiuni sunt efectuate asupra fișierelor care conțin macrocomenzi (deschidere, salvare, închidere etc ), macrocomenzile fișierului sunt executate automat În acest caz, controlul este primit de virușii macro care rămân activi atâta timp cât editorul (procesorul) corespunzător este activ Prin urmare, atunci când lucrați cu un alt fișier într-un editor (procesor) infectat, acesta devine și el infectat Mecanismul de infecție este similar cu mecanismul de infecție cu viruși rezidenți Pentru a obține controlul asupra macrovirusurilor, infectarea fișierelor MS OFFICE, de regulă, utilizați câteva trucuri: • în virus este plasată o macrocomandă automată (virusul este activat automat când este deschis un document sau o foaie de calcul); • una dintre macrocomenzile standard este plasată în virus, care este executată atunci când este selectat un anumit element de meniu; • macrocomanda virusului este apelată automat pentru execuție atunci când este apăsată o anumită tastă sau combinații de taste Virusul macro One Win Word Concept, care infectează documentele WORD, a apărut în vara anului Funcția rău intenționată a acestui virus este de a schimba formatul documentelor WORD în fișiere de stil Un alt virus macro WinWord Nuclear nu mai este atât de inofensiv El termină fraza prin care se cere interzicerea testelor nucleare efectuate de Franța în Oceanul Pacific Virușii de boot infectează sectoarele de boot ale dischetelor și sectoarele de boot sau Mașter Boot Record (MBR) ale hard disk-urilor în același mod ca virușii de fișiere Virușii de boot sunt rezidenți Infecția are loc atunci când sistemul de operare este încărcat de pe discuri După pornirea computerului, performanța acestuia este monitorizată cu ajutorul unui program înregistrat într-un dispozitiv de stocare permanent Dacă verificarea a avut succes, apoi primul sector este citit de pe dischetă sau de pe hard disk Ordinea în care unitățile de disc sunt utilizate pentru pornire este setată de utilizator folosind programul SETUP Dacă discul de pe care este încărcat sistemul de operare este infectat cu un virus de boot, atunci virusul este de obicei implementat în următoarea secvență Virusul de boot (parte a virusului) citit din primul sector al discului primește control, reduce cantitatea de RAM liberă și citește corpul virusului de pe disc Virusul se rescrie într-o altă zonă a RAM, cel mai adesea la adrese de memorie mai mari Se setează vectorii de întrerupere necesari dacă virusul este rezident, iar când sunt îndeplinite anumite condiții se efectuează acțiuni de sabotaj Sectorul de boot din RAM este copiat și i se transferă controlul Dacă virusul a fost activat de pe o dischetă, atunci este scris în sectorul de boot al hard diskului Un virus activ, care rezidă constant în RAM, infectează sectoarele de pornire ale tuturor dischetelor, nu doar discurilor de sistem Infectarea dischetelor care funcționează cu viruși de boot se realizează pe baza acțiunilor eronate ale utilizatorului computerului la momentul încărcării sistemului de operare Dacă ordinea de pornire a sistemului de operare este setată mai întâi de pe o dischetă, apoi de pe un hard disk, atunci dacă este disponibilă o dischetă, primul sector de pe dischetă va fi citit în unități Dacă discul a fost infectat, atunci acest lucru este suficient pentru a infecta computerul Această situație apare cel mai adesea când sistemul de operare este repornit după "înghețuri" sau defecțiuni ale computerului Programele viruși OS sunt create pentru computere de un anumit tip și se concentrează pe sisteme de operare specifice Un exemplu este MS DOS instalat pe computere personale compatibile cu IBM Pentru UNIX OS, OS/ , WINDOWS și alte sisteme de operare, se cunosc un număr mic de viruși Atractivitatea sistemului de operare pentru creatorii de viruși este determinată de următorii factori: • simplitate relativă; • prevalența OS; • lipsa mecanismelor antivirus încorporate; • durata de funcţionare Toți factorii de mai sus sunt tipici pentru MS DOS Prin urmare, autorii de viruși, atunci când folosesc WINDOWS și OS/ , recurg adesea la utilizarea binecunoscutului MS DOS conținut în ei pentru a injecta viruși Principalul dezavantaj al MS DOS este posibilitatea accesului complet și necontrolat al oricărui program activ la toate resursele sistemului informatic, inclusiv modulele sistemului de operare în sine Sistemul de operare MICROSOFT WINDOWS și modificarea acestuia MICROSOFT WINDOWS PENTRU GRUPURI DE LUCRU nu sunt sisteme de operare independente, ci seamănă mai mult cu programe MS DOS foarte mari Aceste sisteme de operare au restricții privind accesul la RAM Fiecare program are acces doar la spațiul său virtual RAM Accesul la discuri, fișiere și porturi ale dispozitivelor externe nu este limitat Virușii de boot proiectați pentru MS DOS continuă să funcționeze, deoarece sunt controlați chiar înainte de încărcarea MICROSOFT WINDOWS , iar în această perioadă de timp acțiunile lor nu sunt limitate în niciun fel Slăbiciunea funcțiilor de protecție ale MICROSOFT WINDOWS / se datorează și compatibilității cu MS DOS Acest sistem de operare are aceeași rezistență la viruși ca MICROSOFT WINDOWS Sistemul de operare IBM OS/ este mult mai bine protejat de viruși Acest sistem este complet independent de MS DOS Toate programele care se execută în OS/ rulează în spații de adrese separate, ceea ce elimină complet posibilitatea influenței reciproce a programelor Este posibil să împiedicați programele de lucru (non-sistem) să acceseze porturile dispozitivelor periferice Dacă un computer MICROSOFT OS/ este utilizat ca server de fișiere IBM LAN SERVER, driverul HPFS poate fi utilizat pentru a specifica permisiunile de director și fișier De asemenea, puteți proteja directoarele împotriva scrierii în fișierele pe care le conțin Acest sistem are capacitatea de a rula programe MS DOS Dar pe OS/ există mult mai puține opțiuni pentru viruși proiectați pentru MS DOS Sistemele de operare de rețea MICROSOFT WINDOWS NT și NOVELL NET WARE, precum și sistemul de operare WINDOWS , au o bună protecție împotriva virusurilor Metode și tehnologii de combatere a virușilor informatici Răspândirea masivă a virușilor și gravitatea consecințelor impactului acestora asupra resurselor CS au necesitat dezvoltarea și utilizarea unor instrumente și metode speciale antivirus pentru aplicarea acestora Instrumentele antivirus sunt folosite pentru a rezolva următoarele sarcini: • detectarea virusurilor în CS; • blocarea funcționării programelor antivirus; • eliminarea consecinţelor expunerii la viruşi Este de dorit detectarea virușilor în stadiul introducerii lor, sau cel puțin înainte de începerea funcțiilor distructive ale virușilor De remarcat că nu există instrumente antivirus vuety care garantează detectarea tuturor virușilor posibili Dacă este detectat un virus, este necesar să opriți imediat funcționarea programului antivirus pentru a minimiza daunele cauzate de impactul acestuia asupra sistemului Eliminarea consecințelor expunerii la viruși se realizează în două direcții: • îndepărtarea virușilor; • recuperarea (dacă este necesar) de fișiere, zone de memorie Tehnologia de recuperare a sistemului depinde de tipul de virus, precum și de momentul detectării virusului în raport cu declanșarea acțiunilor dăunătoare Recuperarea informațiilor fără utilizarea informațiilor duplicate poate fi imposibilă dacă virușii nu salvează informațiile în locul cărora sunt plasate în memorie în timpul introducerii și, de asemenea, dacă acțiunile dăunătoare au început deja și implică modificări ale informațiilor Pentru combaterea virușilor se folosesc instrumente software și hardware-software, care sunt utilizate într-o anumită secvență și combinație, formând metode de combatere a virușilor, care sunt împărțite în metode de detectare și eliminare a virușilor Sunt disponibile următoarele metode de detectare a virușilor: • scanare; • detectarea modificărilor; • analiza euristică; • folosirea paznicilor rezidenți; • programe de vaccinare; • protecție hardware și software împotriva virușilor Scanarea este una dintre cele mai ușoare metode de detectare a virușilor Scanarea este efectuată de un program de scanare care scanează fișierele în căutarea părții de identificare a virusului - semnătura Programul detectează prezența virușilor deja cunoscuți, cu excepția virușilor polimorfi care folosesc criptarea corpului virusului, schimbând de fiecare dată semnătura Programele de scanare pot stoca nu semnăturile virușilor cunoscuți, ci sumele de control ale acestora Programele de scanare pot elimina adesea virușii detectați Astfel de programe se numesc polifage Metoda de scanare este aplicabilă pentru a detecta viruși ale căror semnături sunt deja izolate și permanente Pentru a utiliza metoda în mod eficient, este necesar să actualizați periodic informațiile despre noii viruși Cel mai faimos program de scanare din Rusia este AIDSTEST al lui Dmitry Lozinsky Detectarea schimbărilor se bazează pe utilizarea programelor de auditor Aceste programe detectează și rețin caracteristicile tuturor zonelor de pe discuri care conțin în mod normal viruși În timpul execuției periodice a programelor de auditor, caracteristicile stocate sunt comparate cu caracteristicile obținute prin monitorizarea zonelor de disc Pe baza rezultatelor auditului, programul emite informații despre presupusa prezență a virușilor De obicei, programele de auditor stochează în fișiere speciale imagini ale înregistrării master de boot, sectoare de boot ale discurilor logice, caracteristicile tuturor fișierelor monitorizate, directoarele și numărul de clustere defecte, cantitatea de RAM instalată, numărul de discuri conectate la computer și parametrii acestora Principalul avantaj al metodei este capacitatea de a detecta viruși de toate tipurile, precum și noi viruși necunoscuți Programele perfecte - auditorii detectează chiar și virușii "infiltrați" De exemplu, programul de inspector ADINF dezvoltat de D Yu Mostov lucrează cu discul direct pe sectoare prin BIOS Acest lucru împiedică virușii "stealth" să folosească capacitatea de a intercepta întreruperi și de a "sta" pentru a controla zona de memorie de care are nevoie virusul Această metodă are și dezavantaje Cu ajutorul programelor de audit, este imposibil să detectați un virus în fișierele care intră în sistem deja infectate Virușii vor fi detectați numai după ce se înmulțesc în sistem Programele de auditor nu sunt potrivite pentru detectarea infecțiilor cu virusuri macro deoarece documentele și foile de calcul se schimbă foarte frecvent Analiza euristică a fost folosită recent pentru a detecta viruși La fel ca metoda de detectare a modificărilor, această metodă vă permite să detectați viruși necunoscuți, dar nu necesită colectarea, procesarea și stocarea preliminară a informațiilor în sistemul de fișiere Esența analizei euristice este de a verifica posibilele habitate ale virușilor și de a identifica comenzi (grupuri de comenzi) în ele care sunt caracteristice virușilor Astfel de comenzi pot fi comenzi pentru crearea modulelor rezidente în RAM, comenzi pentru acces direct la discuri, ocolind sistemul de operare Când analizoarele euristice detectează comenzi suspecte în fișiere sau sectoare de boot, afișează un mesaj despre o posibilă infecție După primirea unor astfel de mesaje, este necesar să verificați cu atenție fișierele presupus infectate și sectoarele de boot cu toate instrumentele antivirus disponibile Un analizor euristic este disponibil, de exemplu, în programul antivirus DOCTOR WEB Utilizarea câinilor de pază rezidenți se bazează pe utilizarea programelor care se află în mod constant în computerul principal și monitorizează toate acțiunile altor programe Procesul tehnologic de utilizare a câinilor de pază rezidenți se desfășoară în următoarea secvență: dacă vreun program efectuează acțiuni suspecte (accesarea sectoarelor de boot pentru scriere, plasarea modulelor rezidente în RAM, încercări de interceptare a întreruperilor etc ), supraveghetorul rezident emite un mesaj către utilizator Programul de gardă poate încărca alte programe antivirus pentru execuție pentru a verifica programele suspecte, precum și pentru a controla toate fișierele care vin din exterior (de pe unități amovibile, din rețea) Un dezavantaj semnificativ al acestei metode este un procent semnificativ de alarme false, care interferează cu munca utilizatorului, provoacă iritații și dorința de a abandona folosirea paznicilor rezidenți Un exemplu de supraveghetor rezident este programul VSAFE inclus cu MS DOS Programele de vaccinare înseamnă crearea unui modul special pentru controlul integrității acestuia O sumă de control este de obicei folosită ca o caracteristică a integrității unui fișier Când un fișier vaccinat este infectat, modulul de control detectează o modificare a sumei de control și informează utilizatorul despre aceasta Metoda vă permite să detectați toți virușii, inclusiv cei necunoscuți, cu excepția virușilor "stealth" Protecția hardware-software împotriva virușilor blochează funcționarea programelor antivirus În prezent, controlere speciale și software-ul lor sunt folosite pentru a proteja computerele Controlerul este instalat în slotul de expansiune și are acces la o magistrală comună Acest lucru îi permite să controleze toate accesul la sistemul de discuri Software-ul controlerului își amintește zonele de pe discuri care nu pot fi modificate în timpul funcționării normale Astfel, puteți seta protecție împotriva modificării înregistrării master de boot, sectoarelor de boot, fișierelor de configurare, fișierelor executabile etc Atunci când efectuează acțiuni interzise de către orice program, controlerul emite un mesaj corespunzător utilizatorului și blochează funcționarea PC-ului Instrumentele antivirus hardware și software au o serie de avantaje față de cele software: • lucrează constant; • detectează toți virușii, indiferent de mecanismul lor de acțiune; • blocați acțiunile neautorizate rezultate din activitatea unui virus sau a unui utilizator necalificat Există un singur dezavantaj al acestor instrumente - dependența de hardware-ul PC-ului Schimbarea acestuia din urmă duce la necesitatea de schimbarea controlerului Complexul SHERIFF poate servi ca exemplu de protecție hardware-software împotriva virușilor Metodele de eliminare a virușilor sunt utilizate pentru a elimina virușii și, de asemenea, pentru a restabili fișierele și zonele de memorie în care se află virusul Există două metode pentru a elimina consecințele expunerii la viruși cu programe antivirus Prima metodă presupune refacerea sistemului după expunerea la viruși cunoscuți Dezvoltatorul unui program de fagi care elimină un virus trebuie să cunoască structura virusului și caracteristicile de distribuție a acestuia în mediu A doua metodă vă permite să recuperați fișiere și sectoare de boot infectate cu viruși necunoscuți Pentru a restaura fișierele, programul de recuperare trebuie să creeze și să stocheze în mod proactiv informații despre fișierele obținute în condiții fără viruși Având informații despre un fișier neinfectat și folosind informații despre principiile generale ale funcționării virușilor, fișierele sunt restaurate Dacă virusul a supus fișierul la modificări ireversibile, atunci recuperarea este posibilă doar folosind o copie de rezervă sau din kitul de distribuție În absența lor, există o singură cale de ieșire - să distrugi fișierul și să-l restaurați manual Dacă programul antivirus nu poate restaura înregistrarea principală de boot sau sectoarele de boot, atunci puteți încerca să o faceți manual În caz de eșec, ar trebui să formatați discul și să îl instalați în sistemul de operare Există viruși care, intrând în computer, devin parte din sistemul de operare al acestuia Dacă pur și simplu eliminați un astfel de virus, sistemul devine inoperabil Un astfel de virus este virusul Open Half Când computerul pornește, virusul criptează treptat hard disk-ul Când accesează sectoare deja criptate, Virusul deschis rezident interceptează accesările și decriptează informațiile Eliminarea virusului va face imposibilă utilizarea părții criptate a discului Când eliminați un astfel de virus, trebuie mai întâi să decriptați informațiile de pe disc, pentru care trebuie să cunoașteți mecanismul virusului Condiții pentru funcționarea în siguranță a CS și tehnologia de detectare a infecției cu virus Principala condiție pentru lucrul în siguranță în CS este respectarea unui număr de reguli care au fost testate în practică și și-au demonstrat eficiența ridicată Prima regulă este utilizarea produselor software obținute prin mijloace legale oficiale Probabilitatea de a avea un virus într-o copie piratată este de multe ori mai mare decât în software-ul obținut oficial A doua regulă este duplicarea informațiilor În primul rând, trebuie să salvați mediul de distribuție a software-ului În același timp, scrierea către media care permite această operațiune ar trebui blocată, dacă este posibil Trebuie acordată o atenție deosebită păstrării informațiilor de lucru Este de preferat să creați în mod regulat copii ale fișierelor de lucru pe medii de stocare amovibile protejate la scriere Dacă o copie este creată pe un mediu neamovibil, atunci este de dorit să o creați pe alte VZU-uri sau computere Fie se copiază întregul fișier, fie se fac doar modificările Ultima opțiune este aplicabilă, de exemplu, atunci când lucrați cu baze de date A treia regulă este utilizarea regulată a instrumentelor antivirus Înainte de a începe lucrul, este indicat să rulați programe de scanare și programe de auditor (AIDSTEST și ADINF) Instrumentele antivirus ar trebui actualizate în mod regulat Regula a patra - fiți precaut atunci când utilizați medii amovibile noi și fișiere noi Noile dischete trebuie verificate pentru absența virușilor de boot și de fișiere, iar fișierele primite - pentru prezența virușilor de fișiere Verificarea se realizează prin programe de scanare și programe care efectuează analize euristice (AIDSTEST, DOCTOR WEB, ANTIVIRUS) Prima dată când este executat un executabil, se folosesc gardieni rezidenți Când lucrați cu documente și tabele primite, este recomandabil să interziceți executarea comenzilor macro prin mijloace încorporate în editorii de text și foi de calcul (MS WORD, MS EXCEL) până la finalizarea scanării complete a acestor fișiere A cincea regulă este să verificați pe computerele special dedicate noile medii de stocare amovibile și fișiere introduse în sistem, mai ales atunci când lucrați în sisteme distribuite sau sisteme pentru uz colectiv Este recomandabil să utilizați pentru aceasta locul de muncă automatizat al administratorului de sistem sau al persoanei responsabile cu securitatea informațiilor Numai după o scanare antivirus cuprinzătoare a discurilor și fișierelor pot fi transferate utilizatorilor sistemului A șasea regulă este blocarea execuției acestei operațiuni dacă nu ar trebui să scrie informații în mass-media Pe dischetele magnetice de , inchi, tot ce trebuie să faceți este să deschideți orificiul pătrat Respectarea constantă a tuturor recomandărilor de mai sus poate reduce semnificativ probabilitatea de infectare cu viruși software și protejează utilizatorul de pierderea irecuperabilă a informațiilor În sistemele deosebit de critice, este necesar să folosiți instrumente hardware și software (de exemplu, SHERIFF) pentru a lupta împotriva virușilor Când, totuși, virusul a intrat în COP, consecințele șederii sale pot fi minimizate prin aderarea la o anumită secvență de acțiuni În primul rând, este necesar să se determine prezența virusului Acest lucru poate fi judecat după următoarele caracteristici: • apariția mesajelor din instrumentele antivirus despre infecție sau suspectare de infecție; • manifestări evidente ale prezenței unui virus, cum ar fi mesajele afișate pe un monitor sau imprimantă, efecte sonore, distrugerea fișierelor și alte acțiuni similare care indică clar prezența unui virus în CS; • manifestări implicite de infecție, care pot fi cauzate și de alte motive, precum defecțiuni sau defecțiuni ale hardware-ului și software-ului CS Manifestările implicite ale prezenței virușilor în CS includ înghețarea sistemului, încetinirea execuției anumitor acțiuni, abordarea încălcărilor, defecțiunile dispozitivului etc După ce a primit informații despre presupusa infecție, utilizatorul trebuie să verifice acest lucru Această problemă poate fi rezolvată cu ajutorul întregului complex de instrumente antivirus După ce se asigură că infecția a avut loc, utilizatorul trebuie să efectueze următoarea secvență tehnologică de acțiuni: ) opriți computerul pentru a distruge virușii rezidenți; ) pentru a încărca sistemul de operare de referință de pe un suport amovibil care nu conține viruși; ) salvați fișierele importante pe medii amovibile care nu au copii de rezervă; ) utilizați instrumente antivirus pentru a elimina virușii și a restaura fișiere, zone de memorie Efectuează monitorizarea performanței aeronavei; ) dacă operabilitatea computerului nu este restaurată, atunci este necesar să se efectueze o ștergere completă și o marcare (formatare) a dispozitivelor de stocare externe neamovibile Într-un PC, programele MS DOS FDISK și FORMAT pot fi folosite pentru aceasta Formatatorul FORMAT nu elimină înregistrarea principală de boot de pe hard disk, care poate conține un virus de boot Prin urmare, este necesar să executați programul FDISK cu parametrul MBR nedocumentat și să utilizați același program pentru a crea partiții și discuri logice pe hard disk Programul FORMAT este apoi executat pentru toate unitățile logice; ) restaurați sistemul de operare, alte sisteme software și fișierele din distribuții și copii de siguranță create înainte de infectare; ) verificați cu atenție fișierele salvate după detectarea infecției și, dacă este necesar, eliminați virușii și restaurați fișierele; ) finalizați recuperarea informațiilor printr-o verificare completă a computerului folosind toate instrumentele antivirus disponibile utilizatorului Urmând recomandările pentru prevenirea infecției cu viruși informatici, precum și prin acțiuni pricepute și oportune în caz de infectare cu viruși, deteriorarea resurselor informaționale ale CS poate fi minimizată Controlul integrității și problemele sistemului de protecție a programelor și datelor În etapa de funcționare a CS, integritatea și disponibilitatea informațiilor din sistem este asigurată de: • controlul integrității informațiilor din CS; • creșterea siguranței la eșec a CS; • contracararea la suprasarcinile si "inghetele" sistemului; • duplicarea informațiilor; • utilizarea unui set de programe strict definit; • reglementare specială a proceselor de întreținere și modificare; • implementarea unui set de măsuri antivirus Integritatea și disponibilitatea informațiilor este menținută și de hardware redundant, blocând acțiunile eronate ale oamenilor, folosind elemente fiabile ale CS și sisteme tolerante la erori De asemenea, sunt eliminate amenințările deliberate de supraîncărcare a elementelor sistemului Pentru a face acest lucru, sunt utilizate mecanisme de măsurare a intensității primirii cererilor de executare (transfer) și mecanisme de limitare sau blocare completă a transferului unor astfel de cereri De asemenea, ar trebui să fie posibil să se determine motivele pentru creșterea bruscă a fluxului de aplicații pentru implementarea programelor sau transferul de informații În sistemele complexe, este aproape imposibil să se evite situațiile care duc la "înghețarea" sistemelor sau a fragmentelor acestora Ca urmare a defecțiunilor hardware sau software, apar erori algoritmice făcute în etapa de dezvoltare, erori ale operatorului în sistem, bucle de program, opriri neprevăzute și alte situații, a căror ieșire este posibilă doar prin întreruperea procesului de calcul și apoi restabilirea acestuia În faza de exploatare se păstrează statistici și se realizează o analiză a unor astfel de situații "Închiderile" sunt detectate în timp util, iar procesul de calcul este restabilit La recuperare, de obicei este necesar să se repete execuția programului întrerupt de la început sau de la un punct de control dacă se folosește mecanismul punctului de control Un astfel de mecanism este utilizat atunci când se execută programe complexe de calcul care necesită o perioadă semnificativă de timp pentru implementarea lor Una dintre principalele condiții pentru asigurarea integrității și disponibilității informațiilor în CS este duplicarea acesteia Strategia de duplicare este aleasă luând în considerare importanța informațiilor, cerințele pentru continuitatea activității CS, complexitatea recuperării datelor Dublarea informațiilor este asigurată de administratorul CS de gardă Doar software-ul autorizat (SW) trebuie utilizat într-un CS securizat Lista programelor autorizate oficial pentru utilizare, precum și frecvența și metodele de monitorizare a integrității acestora, trebuie stabilite înainte de începerea funcționării CS Cea mai simplă metodă de monitorizare a integrității programelor este metoda sumelor de control Pentru a exclude posibilitatea de a face modificări la fișierul controlat cu corectarea ulterioară a sumei de control, este necesar să stocați suma de control în formă criptată sau să utilizați un algoritm secret pentru calcularea sumei de control Cu toate acestea, cea mai acceptabilă metodă de control al integrității informațiilor este utilizarea unei funcții hash Valoarea hash este aproape imposibil de falsificat fără a cunoaște cheia, așa că ar trebui să stocați în formă criptată sau în memorie inaccesibilă unui atacator, doar cheia hash (vectorul hash de pornire) Controlul compoziției software și al integrității (invarianței) programelor se efectuează în timpul inspecțiilor programate de către comisii și funcționari, precum și de către operatorul de serviciu al CSIS conform unui plan specific necunoscut utilizatorilor Pentru control sunt folosite instrumente software speciale În rețelele de calculatoare, o astfel de revizuire a software-ului poate fi efectuată de la distanță de la locul de muncă al operatorului CSIS O atenție deosebită a conducerii și funcționarilor diviziei OBI ar trebui să se concentreze pe asigurarea integrității structurilor CS și a confidențialității informațiilor, protecția împotriva furtului și copierii neautorizate a resurselor de informații în timpul întreținerii, restabilirea performanței, eliminarea accidentelor, precum şi în perioada modernizării CS Deoarece multe instrumente tehnice și de protecție software sunt dezactivate (sau sunt inoperabile) în timpul unei astfel de lucrări speciale, absența lor este compensată de sistemul următoarelor măsuri organizatorice: • pregătirea CS pentru efectuarea lucrărilor; • admiterea specialiştilor pentru prestarea muncii; • organizarea muncii în unitate; • finalizarea lucrărilor Următorii pași ar trebui luati, dacă este posibil, înainte de efectuarea lucrărilor: • deconectarea fragmentului CS, la care este necesară efectuarea lucrărilor, de la CS funcţional; • îndepărtarea purtătorului de informații de pe dispozitive; • implementarea ștergerii informațiilor din memoria COP; • pregătirea spațiilor pentru munca specialiștilor Înainte de a efectua lucrări speciale, este necesar să se izoleze prin toate mijloacele disponibile de partea funcțională a CS acea parte a CS pe care se presupune că trebuie efectuată lucrarea Pentru aceasta, pot fi folosite interblocări hardware și software și opriri fizice ale circuitelor Toate suporturile amovibile care conțin informații confidențiale trebuie îndepărtate de pe dispozitive și depozitate în dulapuri metalice cu împământare, într-o zonă dedicată Informațiile despre mediile neamovibile sunt șterse prin scrierea de trei ori, de exemplu, o secvență binară de și alternanți Este necesar să se determine procedura la unitate dacă este imposibil să ștergeți informații înainte de a efectua lucrări speciale, de exemplu , dacă o unitate de disc magnetică se defectează În acest caz, restabilirea capacității de lucru ar trebui să fie efectuată sub supravegherea directă a unui funcționar din unitatea OBI La restabilirea funcției de scriere pe suport, prima operațiune este ștergerea informațiilor confidențiale Dacă este imposibil să restabiliți operabilitatea unei unități cu un mediu de stocare care nu poate fi amovibil, atunci dispozitivul trebuie eliminat, inclusiv distrugerea fizică a mediului de stocare La dotarea spatiilor pentru lucrari speciale se pregatesc locurile de munca si se izoleaza locurile de munca de restul statiei de compresoare La locul de muncă ar trebui folosite dispozitive certificate și verificate pentru absența marcajelor (dacă nu au fost furnizate împreună cu CS) Măsurile de asigurare a izolării locurilor de muncă de restul CS au scopul de a exclude accesul angajaților care efectuează lucrări speciale la elementele unui CS funcțional Admiterea specialiștilor la locul de muncă se efectuează la un moment dat și după finalizarea tuturor operațiunilor pregătitoare La sosirea specialiștilor din alte organizații, de exemplu, pentru a efectua îmbunătățiri, pe lângă verificarea obișnuită a persoanelor admise în unitate, ar trebui verificată absența marcajelor pentru dispozitive, dispozitive care au fost livrate pentru a efectua lucrări În procesul de efectuare a lucrărilor speciale, este necesar să se excludă utilizarea de hardware și software netestat mijloace, abateri de la tehnologia de lucru stabilită prin documentație, acces la mass-media cu informații confidențiale și elemente ale COP care funcționează în moduri de funcționare Lucrările speciale sunt finalizate prin monitorizarea performanței COP și a absenței marcajelor Verificarea absenței marcajelor hardware se realizează prin examinarea dispozitivelor și testarea acestora în toate modurile Absența marcajelor software este verificată prin sume de control, precum și prin testare Rezultatele îmbunătățirilor sunt acceptate de comisie și întocmite într-un act, care ar trebui să reflecte rezultatele verificării performanței și absența semnelor de carte După verificări, informațiile sunt restaurate și toate mecanismele de protecție sunt activate În CS-uri de sine stătătoare, este oportun să atribuiți utilizatorului CS responsabilitatea directă pentru implementarea unui set de măsuri antivirus În LAN, o astfel de activitate este organizată de oficialii subdiviziunii OBI Fișierele executabile, inclusiv macro-urile care se extrag automat și care conțin, trebuie să fie introduse în LAN sub controlul operatorului de serviciu al KSZI și să fie verificate pentru absența virușilor Problemele sistemice de organizare a protecției programelor și datelor sunt rezolvate prin utilizarea CSIS (a se vedea subsecțiunea ) Succesul operațiunii CSIS depinde în mare măsură de nivelul de organizare al managementului procesului de operare Sistemul de control ierarhic permite organizarea implementării politicii de securitate a informațiilor în etapa de funcționare a CS Când organizați un sistem, aveți nevoie de: • Respectarea nivelului de competență al managerului cu statutul acestuia în sistemul de management; • reglementarea strictă a acțiunilor funcționarilor; • documentarea algoritmilor pentru asigurarea securității informațiilor; • continuitatea managementului; • adaptabilitatea sistemului de control; • controlul asupra implementării politicii de securitate Fiecare funcționar din conducerea organizației, serviciul de securitate sau unitatea OBI trebuie să aibă cunoștințele și aptitudinile necesare pentru a lucra cu CSIS într-o sumă suficientă pentru a-și îndeplini atribuțiile funcționale Mai mult, oficialii ar trebui să aibă minimum de informații posibile despre mecanismele de protecție specifice și informațiile protejate Acest lucru se realizează printr-o reglementare foarte strictă a activităților lor Documentarea tuturor algoritmilor de funcționare a CSIS face posibilă, dacă este necesar, înlocuirea cu ușurință a funcționarilor, precum și exercitarea controlului asupra activităților acestora Implementarea acestui lucru principiul va evita indispensabilitatea angajaților individuali și va stabili un control efectiv asupra activităților funcționarilor Continuitatea controlului CSIS se realizează prin organizarea sarcinii operatorilor CSIS Sistemul de control trebuie să fie flexibil și să se adapteze rapid la condițiile de funcționare în schimbare Sistemul integrat de securitate a informațiilor este un subsistem al CS și funcționarea sa tehnică este organizată în conformitate cu abordarea generală pentru a asigura eficacitatea aplicației CS Sarcinile generale care trebuie rezolvate în timpul funcționării tehnice a CSIS includ: • sarcini organizatorice; • menținerea performanței CSIS; • întreținerea funcționării tehnice Sarcinile organizatorice includ: • planificarea exploatării tehnice; • organizarea sarcinii; • colaborarea cu personalul de service și utilizatorii; • lucrul cu documente Planificarea operațiunii tehnice se realizează pe perioade lungi (șase luni, un an sau mai mult) Se folosește și planificarea pe termen mediu (trimestru, lună) și pe termen scurt (săptămână, zi) Întreținerea și lucrul semestrial la comisioane, livrările de echipamente, piese de schimb și instrumente, reparații de aparate etc sunt planificate pe perioade lungi Planificarea pe termen mediu și scurt sunt utilizate în organizarea întreținerii, îmbunătățirilor, organizarea sarcinilor etc Organizarea sarcinilor este destinată implementării continue a măsurilor organizaționale de protecție și funcționării tuturor mecanismelor de protecție Modul de serviciu depinde de modul de utilizare a COP Operatorul de serviciu al CSIS poate îndeplini și funcții cu normă parțială de administrație generală într-o rețea de calculatoare Locul de muncă al operatorului CSIS, de regulă, este situat în imediata apropiere a celor mai importante componente ale CS (servere, firewall-uri etc ) și este dotat cu toate instrumentele necesare pentru managementul operațional al CSIS Lucrul cu personalul de service și utilizatorii se reduce la selecția personalului, pregătirea, educația acestuia și crearea condițiilor pentru o muncă extrem de eficientă În procesul de funcționare tehnică, se lucrează cu patru tipuri de documente: ) legi; ) documente de orientare departamentale; ) documentația producătorilor; ) documentația elaborată în timpul funcționării Legile reflectă aspectele generale ale funcționării KSZI Departamentele (ministere, asociații, corporații, agenții guvernamentale) elaborează instrucțiuni, directive, standarde de stat, linii directoare etc Producătorii furnizează documentație operațională și tehnică: descrieri tehnice, instrucțiuni de utilizare, formulare (pașapoarte), etc În organizațiile care operează CS, ei dezvoltă și mențin documentația de planificare și contabilitate și raportare Una dintre sarcinile centrale ale funcționării tehnice a CSIS este menținerea operabilității CSIS Operabilitatea este menținută în principal prin întreținere, monitorizarea continuă a operabilității și restabilirea acesteia în caz de defecțiune Operabilitatea instrumentelor de securitate a informațiilor este monitorizată în mod constant folosind controale hardware și software încorporate și periodic de către oficialii și comisiile de securitate Momentul controlului și domeniul de activitate sunt determinate în documentele de orientare Întreținerea funcționării tehnice, de care depinde succesul acesteia, include: • suport logistic; • transport și depozitare; • suport metrologic; • asigurarea siguranţei în exploatare Suportul logistic permite satisfacerea nevoii de consumabile, piese de schimb si dispozitive, unelte si alte resurse materiale necesare functionarii KSZI Transportul și depozitarea dispozitivelor securizate CS ar trebui să asigure protecție împotriva accesului neautorizat la dispozitivele aflate în tranzit și în depozit Pentru asigurarea condițiilor necesare transportului și depozitării, se iau măsuri de pregătire a dispozitivelor în conformitate cu cerințele documentației operaționale și tehnice Suportul metrologic vă permite să mențineți instrumentele de măsură în stare bună Asigurarea siguranței funcționării asigură protecția personalului de service și a utilizatorilor, în primul rând, de amenințarea cu electrocutare, precum și de eventualele incendii În general, eficiența utilizării CSIS depinde în mare măsură de nivelul de funcționare tehnică Software și hardware pentru asigurarea securității informațiilor în sisteme de operare standard, DBMS și rețele de calculatoare Principalele prevederi ale suportului software, hardware și organizațional pentru securitatea informațiilor în sistemele de operare Alegerea modelului de securitate potrivit nu este atât o sarcină pentru specialiștii sistemului de operare, cât este pentru specialiștii în securitate și confidențialitate Standardele existente limitează lista obligatorie de modele la doar două modele - controlul accesului discret și obligatoriu Pentru majoritatea aplicațiilor, aceste două modele sunt suficiente Modelele existente de alte tipuri nu au primit o distribuție largă ca modele care stau la baza sistemului de operare, ele sunt de obicei folosite pentru a dezvolta o aplicație Cu toate acestea, din punct de vedere istoric, multe sisteme nu acceptă modele de control al accesului discret și obligatorii și nici măcar nu permit implementarea acestor modele fără o încălcare semnificativă a principiilor organizării sistemului Dificultățile în implementarea acestor modele implică anumite compromisuri din partea dezvoltatorilor, ceea ce este inacceptabil, deoarece duce la o denaturare a modelului de securitate și la implementarea incorectă a acestuia Pare adecvat ca sistemele de operare de uz general să suporte inițial modele de control al accesului discret și obligatorii, începând de la etapele inițiale de dezvoltare Pentru a asigura securitatea eficientă a informațiilor în sistemul de operare, trebuie urmate următoarele recomandări Implementați corect modelul de securitate Efectuați identificarea și autentificarea de încredere a obiectelor și subiectelor Această problemă este pur tehnică În prezent, există sisteme care asigură fiabilitatea identificării și autentificării cu un anumit grad Pentru identificare, fiabilitatea este asigurată de unicitatea caracteristicilor utilizate, iar pentru autentificare, de dificultatea falsificării Pentru a implementa algoritmi fiabili pentru identificarea și autentificarea utilizatorilor, este necesar un hardware special - carduri magnetice, cititori ai parametrilor fiziologici ai utilizatorului (amprente, retine etc ) Implementarea software a acestor metode este simplă și poate fi adăugată cu ușurință la orice sistem existent Pentru identificarea și autentificarea subiecților și obiectelor software (fără intervenție umană) se folosesc algoritmi ai așa-numitei semnături electronice care au primit recent o dezvoltare intensivă Alegerea mecanismelor, dispozitivelor și mijloacelor specifice de identificare și autentificare depinde de cerințele unui anumit sistem și poate fi efectuată inul indiferent de alte solutii folosite pentru a oferi protectie Pentru a realiza o reducere sau eliminare completă a erorilor în implementarea software a sistemelor de securitate Metodele și protecțiile, ca orice alt software, sunt supuse erorilor de implementare Desigur, o eroare în oricare dintre componentele sistemului de protecție pune sub semnul întrebării securitatea întregului sistem, astfel că erorile din software-ul responsabil cu securitatea duc nu numai la pierderea funcționalității, ci și la discreditarea întregului sistem Măsurile care vizează rezolvarea acestei probleme aparțin domeniului tehnologiei de programare și al fiabilității software Această problemă este o zonă de intersecție a două discipline diferite - securitatea și fiabilitatea software-ului, deoarece fiabilitatea programelor care implementează protecția determină securitatea sistemului (a se vedea capitolul ) Organizați controlul adecvat al integrității echipamentelor de securitate Această problemă este de natură pur tehnologică, deoarece metodele de control al integrității sunt destul de dezvoltate și există soluții destul de fiabile (aceeași semnătură digitală) Cu toate acestea, în practică, de regulă, aceste metode sunt utilizate numai pentru a controla integritatea informațiilor (de exemplu, în timpul transmiterii printr-un canal de comunicare) Pentru a rezolva această problemă, este necesar, în primul rând, controlul integrității mecanismelor care asigură protecție (vezi Sec ) Asigurați disponibilitatea instrumentelor de depanare și testare în produsele finale Doar măsurile organizatorice pot fi folosite pentru a rezolva această problemă Toate sistemele pentru care securitatea este critică trebuie (printre altele) să aibă un certificat care să confirme că nu au astfel de capabilități Desigur, doar dezvoltatorul își poate asuma întreaga responsabilitate pentru îndeplinirea acestei cerințe Minimizați erorile de administrare Această problemă este legată de factorul uman și nu poate fi rezolvată prin mijloace pur tehnice Pentru a minimiza probabilitatea unor astfel de erori, este necesar să se ofere instrumente de securitate și control al accesului cu o interfață convenabilă și practică și, dacă este posibil, să se utilizeze sisteme de control automatizate În plus, pot fi furnizate instrumente speciale de verificare care verifică configurația aeronavei pentru o administrare inadecvată (vezi Capitolul ) Protecția proceselor de prelucrare a informațiilor într-un SGBD Protecția proceselor de prelucrare a informațiilor în baze de date, spre deosebire de protecția datelor din fișiere, are propriile caracteristici: • necesitatea de a ține cont de funcționarea sistemului de management al bazei de date la alegerea mecanismelor de protecție; • Diferențierea accesului la informații este implementată nu la nivelul fișierelor, ci la nivelul părților de baze de date Atunci când se creează mijloace pentru protejarea proceselor de prelucrare a informațiilor în baze de date, este necesar să se țină cont de interacțiunea acestor instrumente nu numai cu sistemul de operare, ci și cu SGBD În acest caz, este posibil să încorporați mecanisme de protecție în SGBD sau să le folosiți ca componente separate Pentru majoritatea SGBD-urilor, acordarea de funcții suplimentare este posibilă numai în stadiul dezvoltării SGBD Componentele suplimentare pot fi introduse în sistemele de management al bazei de date în uz prin extinderea sau modificarea limbajului de control În acest fel, este posibilă creșterea capacităților, de exemplu, în DBMS-ul CA-CLIPPER În bazele de date moderne, sarcinile de control al accesului, menținerea integrității fizice și siguranța logică a datelor sunt rezolvate cu succes Algoritmii de restricționare a accesului la înregistrări și chiar la câmpurile înregistrărilor în conformitate cu permisiunile utilizatorului sunt bine dezvoltați, iar un atacator poate depăși această protecție doar falsificând permisiunile sau introducând programe rău intenționate Diferențierea accesului la fișierele bazei de date și la părți ale bazelor de date este realizată de SGBD prin stabilirea permisiunilor utilizatorului și controlul acestor permisiuni la accesarea obiectelor de acces Schema funcțională a managerului de acces este prezentată în fig Permisiunile utilizatorului sunt stabilite de administratorul SGBD De obicei, ID-ul de utilizator standard este o parolă transmisă în formă criptată În CS-urile distribuite, procesul de autentificare a utilizatorului este completat de o procedură specială pentru autentificarea reciprocă a proceselor de la distanță Bazele de date care conțin informații confidențiale sunt stocate pe dispozitive de stocare externe în formă criptată Integritatea fizică a bazelor de date este obținută prin utilizarea dispozitivelor tolerante la erori construite, de exemplu, folosind tehnologia RAID Siguranța logică a datelor înseamnă imposibilitatea încălcării structurii modelului de date SGBD-ul modern oferă o astfel de integritate logică și consecvență în etapa de descriere a modelului de date În bazele de date care lucrează cu informații confidențiale, este necesar să se utilizeze suplimentar mijloace criptografice de închidere a informațiilor În acest scop, criptarea este utilizată atât folosind o singură cheie, cât și chei individuale de utilizator Aplicarea criptării cu o persoană tastele duale măresc fiabilitatea mecanismului de control al accesului, dar complică semnificativ managementul Există două moduri de operare cu baze de date criptate Primul, cel mai simplu, este un astfel de mod de lucru cu date închise, în care, pentru a îndeplini o solicitare, fișierul necesar sau o parte a fișierului este decriptat pe un mediu extern, acțiunile necesare sunt efectuate cu informații deschise, după care informațiile de pe VCD sunt din nou criptate Avantajul acestui mod de operare este independența funcționării instrumentelor de criptare și DBMS, care funcționează secvenţial unul după altul În același timp, o defecțiune sau o defecțiune a sistemului poate duce la faptul că o parte a bazei de date va rămâne scrisă în text clar pe VSD Al doilea mod de operare presupune posibilitatea de a executa cererile utilizatorului de către SGBD fără a decripta informațiile de pe VSD Căutarea fișierelor, înregistrărilor, câmpurilor, grupurilor de câmpuri necesare nu necesită decriptare Decriptarea este efectuată în OP imediat înainte de a efectua acțiuni specifice cu datele Acest mod de operare este posibil dacă procedurile de criptare sunt încorporate în SGBD În acest caz, se atinge un nivel ridicat de protecție împotriva accesului neautorizat, dar implementarea modului de operare este asociată cu complicarea DBMS Acordarea capacității SGBD de a susține acest mod de operare se realizează, de regulă, în etapa de dezvoltare a SGBD La construirea protecției bazei de date, este necesar să se țină cont de o serie de amenințări specifice la securitatea informațiilor asociate cu concentrarea unei cantități mari de informații diverse în baze de date, precum și de posibilitatea de a utiliza interogări complexe de prelucrare a datelor Aceste amenințări includ: • deducere; • agregare; • combinație de solicitări permise Inferența este înțeleasă ca primirea de informații confidențiale din informații cu un grad mai mic de confidențialitate prin inferență Avand in vedere ca bazele de date stocheaza informatii obtinute din diverse surse in momente diferite, diferita prin gradul de generalizare, atunci analistul poate obtine informatii confidentiale prin compararea, completarea si filtrarea datelor la care este admis În plus, prelucrează informațiile obținute din baze de date deschise, mass-media și, de asemenea, utilizează calculele greșite ale indivizilor care determină gradul de importanță și confidențialitate a fenomenelor, proceselor, faptelor individuale și a rezultatelor obținute Această metodă de obținere a informațiilor confidențiale, de exemplu, din materiale media, a fost folosită de mult timp și și-a demonstrat eficacitatea Aproape de inferență este o altă modalitate de a obține informații confidențiale - agregarea Agregarea se referă la o modalitate de a obține informații mai importante decât importanța datelor individuale pe baza cărora sunt obținute aceste informații Astfel, informațiile despre activitățile unui departament sau ale unei ramuri a unei corporații au un anumit factor de ponderare Datele pentru întreaga corporație sunt mult mai importante Dacă inferența și agregarea sunt metode de obținere a informațiilor care se aplică nu numai bazelor de date, atunci metoda combinației speciale de interogări permise este utilizată numai atunci când se lucrează cu baze de date Utilizarea unor interogări complexe, precum și a unei secvențe de interogări simple legate logic, vă permite să obțineți date la care accesul utilizatorului este închis Această posibilitate există, în primul rând, în bazele de date care permit obținerea de date statistice În acest caz, înregistrările individuale, câmpurile (date individuale) sunt închise Ca urmare a interogării, care poate utiliza operațiile logice ȘI, SAU, NU, utilizatorul poate obține valori precum numărul de înregistrări, suma, valoarea maximă sau minimă Folosind cereri încrucișate complexe și informații suplimentare de care dispune despre caracteristicile înregistrării (câmpului) de interes, un atacator poate obține acces la înregistrarea dorită prin filtrarea succesivă a înregistrărilor Asigurarea securității informațiilor în DOS și WINDOWS Securitatea informației este asigurată prin implementarea unor monitoare de securitate În acest caz, este necesar, în primul rând, să selectați corect nivelul de reprezentare semantică pentru obiectul care este protejat De obicei, atunci când se construiește un monitor de securitate a obiectelor (OSM) la nivel de mediu de operare, acesta este un fișier La implementarea unui MBO într-un sistem de aplicații (în special, într-un SGBD), obiectul este, de regulă, o unitate semantică de tipul de înregistrare a bazei de date Din punct de vedere tehnic, MBO pentru DOS este implementat ca program rezident, care este "handlerul" întreruperii int h În plus, DOS vă permite să implementați operațiuni cu fișiere atât prin pointeri, cât și prin Blocul de control al fișierelor (FCB) Cel de-al doilea mecanism a rămas practic neschimbat de la primele versiuni de MS-DOS și în prezent practic nu este utilizat de programele de aplicație (singurele excepții sunt comenzile interne, în special DEL) Să dăm un exemplu de implementare a "handlerului" Acest program demo afișează în ecranul de text (în colțul din stânga sus) numele fișierelor de deschis (pe fundal albastru) și de șterse (pe fundal roșu) Programul trebuie să fie compilat într-un fișier COM Pentru a obține un efect vizual pentru WINDOWS / , acest program trebuie lansat fie înainte de a porni shell-ul grafic, fie după efectuarea "Reporniți computerul în modul MS-DOS" (acest program nu va funcționa într-o fereastră DOS) Securitate pentru WINDOWS / Se realizează prin mecanismul de încorporare în lanțul de procesare a operațiunilor de fișiere folosind mecanismul IFS Manager Acest mecanism oferă o interfață pentru atașarea "handler-urilor" personalizate pentru operațiunile cu fișiere selectate Luați în considerare implementarea procedurii de înregistrare a lansării și deschiderii modulelor executabile, implementată în interiorul driverului virtual VXD Principala problemă cu funcționarea normală a monitoarelor de securitate este funcționarea corectă cu obiecte protejate (în acest caz, cu fișiere executabile și jurnal) în interiorul codului monitorului În programul luat în considerare, este introdus un flag special Already In Hooker, care indică faptul că atunci când operațiunile de fișiere sunt interceptate, controlul trece imediat la handlerul lor anterior Apoi trebuie să acordați atenție lucrului cu jurnalul (fișierul c:\test log w ) Jurnalul după ce următoarea înregistrare este introdusă în el este închis (care este necesar pentru toleranța la erori - o întrerupere a curentului sau o defecțiune fatală a aplicației nu va duce la pierderea înregistrării) și apoi redeschis (astfel încât orice aplicație să nu îl poată deschide și blochează înregistrarea din statistica VXD) Acest exemplu este tipic pentru scrierea monitoarelor de securitate ale sistemului Două metode pot fi utilizate pentru a activa acest VXD Prima modalitate este să adăugați o linie, cum ar fi device = calea fișierului VXD, în secțiunea Enh a fișierului system ini A doua modalitate este de a încărca dinamic șoferul Este executat de următorul fragment de cod: #include #include #include int main() { MÂNĂRĂ hCVxD = ; // Încărcați dinamic driverul statis VXD hCVxD = CreateFile("\\\\ \\statis VXD", , , , CREATE NEW, FILE FLAG DELETE ON CLOSE, ); if(hCVXD == INVALID HANDLE VALUE) { printf ("Nu se poate deschide driverul de dispozitiv virtual statis VXD!\n" ); ieșire(- ); } printf("Driverul a fost încărcat cu succes\n"); CloseHandle(hCVXD); return( ); } Identificare și autentificare (IA) în OS WINDOWS NT Esența acestor proceduri este că atunci când se autentifică în sistem, utilizatorul își transmite numele, parola și numele stației de lucru sau domeniul în care este înregistrat acest utilizator la funcția de sistem LogonUser Dacă utilizatorul este identificat cu succes, funcția LogonUser returnează un pointer către jetonul de acces al utilizatorului, care este apoi folosit pentru orice acces la obiectele de sistem protejate Mecanismul IA al utilizatorului în sistemul de operare WINDOWS NT este implementat printr-un proces special Winlogon, care este activat în etapa inițială a pornirii sistemului de operare și rămâne activ pe toată perioada de funcționare Nucleul sistemului de operare verifică în mod regulat starea acestui proces și, dacă se termină anormal, întregul sistem de operare se blochează Pe lângă autentificarea utilizatorului, Winlogon implementează o serie de alte funcții, cum ar fi comutarea spațiilor de lucru (desktop), activarea economizoarelor de ecran și o serie de funcții de rețea Procesul Winlogon constă din următoarele module: • nucleul procesului Winlogon exe; • Biblioteca GINA: (Graphic Identification and Autentication - IA graphic library); bibliotecă dinamică de funcții utilizate pentru identificarea locală a utilizatorului (identificarea utilizatorului pe stația de lucru); • biblioteci de suport de rețea (Network Provider DLL) care implementează identificarea utilizatorului "la distanță" (identificarea utilizatorilor care accesează resursele serverului prin intermediul rețelei) Biblioteca GINA și bibliotecile de suport de rețea sunt componente înlocuibile ale procesului Winlogon Configurația bibliotecilor de suport de rețea este determinată de protocoalele și serviciile rețelei suportate În acest caz, configurația bibliotecii GINA este determinată de cerințele pentru mecanismul local de identificare În fiecare moment al procesului tehnologic, Winlogon poate fi într-una dintre stările prezentate în Fig Când utilizatorul nu este încă conectat, Winlogon este în starea , utilizatorului i se solicită să se identifice și să furnizeze informații de verificare (parola în configurația implicită) Dacă informațiile introduse de utilizator îi dau dreptul de a se conecta la sistem, atunci shell-ul sistemului (de obicei Program Manager) este activat și Winlogon trece la starea Deși în starea niciun utilizator nu poate interacționa direct cu sistemul, dacă stația de lucru rulează Serviciul Server, utilizatorii pot accesa resursele sistemului prin intermediul rețelei Când utilizatorul este conectat, Winlogon este în starea În această stare, utilizatorul se poate deconecta sau bloca stația de lucru În primul caz, Winlogon încheie toate procesele asociate cu sesiunea de sfârșit și trece la starea În al doilea caz, Winlogon afișează un mesaj că stația de lucru este blocată și trece la starea În starea , Winlogon afișează o solicitare pentru ca utilizatorul să se identifice și să deblocheze stația de lucru Acest lucru poate fi făcut fie de către utilizatorul care l-a blocat, fie de către administrator În primul caz, sistemul revine la starea în care se afla imediat înainte de blocare Orez Diagrama bloc a procesului de autentificare , și trece la starea În al doilea caz, toate procesele asociate cu sesiunea curentă sunt încheiate și Winlogon trece la starea Când o stație de lucru este blocată, procesele de fundal care au fost pornite de utilizator înainte de blocare continuă să ruleze Imediat după încărcare, Winlogon inițializează GINA apelând funcțiile WlxNegotiate și Wlxlnitialize în secvență Stația de lucru intră în starea "Utilizatorul nu este conectat" Când un utilizator este pe cale să se conecteze folosind combinația de taste [Ctrl] + [Alt] + [Del], Winlogon apelează funcția WlxLoggedOutSas a bibliotecii GINA WlxLoggedOutSas încearcă să se conecteze apelând funcția de sistem LogonUser În funcție de informațiile introduse de utilizator, GINA returnează una dintre următoarele valori în procesul Winlogon: • WLX SAS ACTION LOGON - Utilizatorul este conectat Având în vedere această valoare, Winlogon apelează funcția GINA WlxActiva-vateUserShell, care încarcă shell-ul individual al utilizatorului; • WLXSASACTIONNONE - Utilizatorul nu s-a putut conecta Starea sistemului nu se schimbă; • WLXSASACTIONSSHUTDOWN - Utilizatorul a solicitat o oprire a sistemului Această funcție poate fi dezactivată (vezi mai devreme) Având în vedere această valoare returnată, Winlogon apelează funcțiile bibliotecii GINA WlxLogoff și WlxShutdown în secvență Dacă utilizatorul a apăsat combinația de taste [Ctrl] + [Alt] + + [Del] în timp ce este deja conectat, Winlogon apelează funcția WlxLoggedOnSas GINA afișează o casetă de dialog și, în funcție de decizia utilizatorului, efectuează următoarele acțiuni: • dacă utilizatorul alege să nu întreprindă nicio acțiune, atunci GINA returnează WLX SAS ACTION NONE la Winlogon Winlogon readuce sistemul în aceeași stare în care se afla înainte de a apăsa combinația de taste [Ctrl] + [Alt] + [Del]; • dacă utilizatorul dorește să vizualizeze o listă de procese active, atunci GINA returnează WLX SAS ACTION TASKLIST Winlogon readuce sistemul la starea în care se afla înainte de a apăsa combinația de taste [Ctrl] + [Alt] + [Del] și activează procesul Task Manager; • dacă utilizatorul dorește să blocheze stația de lucru, atunci GINA returnează WLX SAS ACTION LOCK WKSTA Winlogon blochează sistemul; • dacă utilizatorul dorește să se deconecteze, GINA returnează WLX SAS ACTION LOGOFF Winlogon răspunde apelând funcția GINA WlxLogoff; • dacă utilizatorul dorește să închidă computerul, GINA returnează WLXSASACTIONSSHUTDOWN Winlogon apelează funcțiile GINA WlxLogoff și WlxShutdown în secvență ; • dacă utilizatorul dorește să repornească computerul, atunci GINA returnează WLX SAS ACTION SHUTDOWN REBOOT Winlogon apelează funcțiile GINA WlxLogoff și WlxShutdown în secvență Când sistemul este descărcat, computerul repornește automat; • dacă utilizatorul dorește să închidă computerul și să-l oprească, atunci GINA returnează WLX SAS ACTION SHUTDOWN REBOOT POWER OFF Winlogon apelează funcțiile GINA WlxLogoff și WlxShutdown în secvență Când sistemul termină descărcarea, computerul se va opri automat Dacă hardware-ul computerului nu permite oprirea software-ului, atunci această valoare returnată are același efect ca WLX SAS ACTION SHUTDOWN; • Dacă utilizatorul dorește să-și schimbe parola, GINA afișează caseta de dialog corespunzătoare, apelează funcția WlxChangePasswordNotify când utilizatorul completează noua parolă și apoi returnează WLX SAS ACTION PWD CHANGEED la Winlogon Când stația de lucru este blocată și utilizatorul apasă combinația de taste [Ctrl] + [Alt] + [Del], Winlogon apelează funcția GINA WlxWkstaLockedSas GINA solicită utilizatorului parametrii de identificare și îi validează În funcție de rezultatul validării, GINA returnează una dintre următoarele valori: WLX UNLOCK WKSTA - deblocați stația de lucru; WLXFORCELOGOFF - deconectare forțată urmată de autentificarea administratorului; WLXNOACTION - Stația de lucru rămâne blocată Dacă utilizatorul este conectat și unul dintre procese apelează funcția de sistem ExitWindowsEx, atunci Winlogon apelează fie WlxLogoff, fie secvențial WlxLogoff și WlxShutdown, în funcție de parametrii ExitWindowsEx În acest caz, respectiv, fie utilizatorul se deconectează din sistem, fie sistemul se oprește Dacă GINA primește un SAS non-standard de la utilizator, apelează funcția WlxSasNotify a Winlogon, după care Winlogon apelează una dintre funcțiile GINA enumerate anterior, în funcție de contextul în care a fost primit SAS Pentru a studia procesul de identificare și autentificare, puteți utiliza modulul DLL, care este un "adaptor" între WinLogon și standardul MSGINA Prototipurile MSGINA DLL exportate sunt descrise în fișierul winwlx h al distribuției standard MS SDK Pentru a activa modulul xgina dll, trebuie să creați o cheie de registry (de exemplu, folosind Regini folosind următorul fișier ini): \Registry\Machine\Software\Microsoft\Windows NT\Versiunea curentă\Winlogon GinaDll = c:\xgina dll În loc de c:\xgina dll, trebuie să specificați calea reală sau să plasați biblioteca la calea specificată Procesul IA este guvernat de următoarele chei de registry: \Registry\Machme\Software\Microsoft\Windows NT\Current Version\WinIogon (Tabelul ) Implementarea procesului IA poate fi realizată prin crearea unui mediu software izolat (IPS) Două abordări pot fi utilizate pentru a crea un IPS Înlocuirea shell-ului utilizatorului cu propria sa sarcină, care oferă un meniu închis Această cale este destul de banală și implică scrierea unei aplicații de fereastră simplă și specificarea căii către aceasta în cheia Shell Setarea cheilor de registry care vă permit să limitați numărul de sarcini din meniul Start al shell-ului standard Windows NT are capacitatea de a seta o listă de programe pe care utilizatorii le pot rula Deschideți registry pentru editare și găsiți cheia: [HKEY CURRENT USER\Software\Microsoft\Windows\Current Versiune\Politici\Explorator] Setați valoarea parametrului "RestrictRun" la " " pentru a utiliza această caracteristică sau la "O" pentru a o dezactiva Creați această setare dacă nu există Definiți programele pe care utilizatorii le vor putea rula, în cheia: [HKEY CURRENT USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\RestrictRun], Creați un nou parametru pentru fiecare program, denumindu-le ca numere în ordine crescătoare De exemplu: T='ca lc exe' ' '=='winword exe' Ieșiți din Regedit Reporniți pentru ca modificările să intre în vigoare Calea considerată are un dezavantaj asociat cu faptul că este necesară editarea cheilor secțiunii CurretnUser Astfel, este necesară preînregistrarea în sistem ca utilizator pentru care este setat un meniu închis Rețineți că nimic nu împiedică utilizatorii să redenumească orice fișier * exe în winword exe (sau orice altul care are permisiunea de a rula) și să ocolească această limitare Din cauza asta Tabelul Chei de identificare și autentificare în MS GINA Nume Valoare Conținut implicit Auto Admin Logon o/i Specifică dacă se va autentifica automat cu numele DefaultUserName și parola DefaultPassword Nume de domeniu implicit Nume de domeniu NEW DOMAIN Specifică numele domeniului pentru care a avut loc ultima conectare cu succes Parolă implicită Parolă Niciuna Specifică parola pentru utilizatorul specificată în Nume utilizator implicit și este utilizată la conectare în mod implicit Nume de utilizator implicit Nume de utilizator Numele ultimului utilizator conectat cu succes Dacă sunt definite AutoAdminLogon și Parola implicită, aceasta este utilizată pentru autentificarea implicită Nu afișați numele de utilizator / - LegalNotice Caption Bara de titlu Nici unul Specifică titlul mesajului special pentru utilizator Notă juridică Text Message text string None Specifică textul notificării speciale pentru utilizator Parse Autoexec / Când este setat la , conținutul fișierului - - - AUTOEXEC BAT analizat la conectarea la Windows NT Oprire după oprire / pentru Windows NT Server, pentru Windows NT Workstation Dacă această tastă este setată la , atunci utilizatorul poate selecta acțiunile Oprire și Oprire din meniurile Oprire și Deconectare, altfel butonul Oprire nu apare Sfârșitul mesei Nume Valoare Conținut implicit Oprire fără autentificare o/i pentru Windows NT Server, pentru Windows NT Workstation Dacă această valoare este setată la , atunci utilizatorul poate selecta ShutDown without PowerOfT din caseta de dialog Bun venit În caz contrar, ShutDown without Power Off nu apare Report BootOk o/i Dacă această valoare este setată la , aceasta dezactivează acceptarea automată a pornirii (implicit) care are loc după prima conectare cu succes Această valoare trebuie să fie dacă sunt utilizate alocări alternative în cheile BootVerification sau BootVerificationProgram Shell Numele aplicațiilor executabile taskman progman, wowexec Specifică programele executabile care urmează să fie executate ca shell-uri utilizator System Executable Names lsass exe, spollss exe Specifică numele programelor pe care procesul WinLogon ar trebui să le execute în contextul sistemului Taskman Executable Names Nu Vă permite să determinați numele programelor care efectuează diverse sarcini administrative UserInnit Userini Executable Names, nddeagnt exe Specifică programele executabile pe care procesul WinLogon ar trebui să le execute atunci când un utilizator se conectează la sistem pentru a implementa o protecție fiabilă, este necesar să se sprijine funcționarea IPS cu un driver la nivel de kernel care controlează operațiunile cu fișiere executabile Asigurarea securității informațiilor în sistemul de operare Linux și UNIX În prezent, sistemul de operare UNIX (în special modificările sale ale familiei Linux) este utilizat pe scară largă în diverse domenii, inclusiv organizații în care securitatea proceselor de prelucrare a informațiilor este unul dintre primele locuri Acest lucru se datorează faptului că Linux aparține procedurilor de conversie distribuite liber (PP), vine cu cod sursă și, prin urmare, poate fi verificat (în ceea ce privește prezența sau absența constructelor software incorecte) sau modificat pentru condiții specifice de aplicare Trebuie remarcat faptul că atunci când sistemul de operare UNIX a fost dezvoltat cu mai bine de un sfert de secol în urmă, acesta nu era destinat să ofere securitatea informațiilor Acest lucru, desigur, nu înseamnă că implementările moderne ale acestui mediu de operare nu oferă o implementare completă a mecanismelor de securitate Dezvoltat inițial ca un sistem deschis, nu a putut decât să moștenească unele elemente de deschidere Din această cauză, configurația Linux are un anumit set de situații identificate care pot duce la o încălcare a mecanismelor de securitate Prin urmare, unul dintre cele mai importante aspecte ale securității UNIX este configurarea și configurarea corectă Pentru a configura corect sistemul, administratorul trebuie să înțeleagă clar toate cerințele care trebuie descrise în strategia de securitate (SS) specificată a priori În literatura străină, în legătură cu CS, termenul "de încredere" (de încredere) este adesea folosit în loc de "sigur" (securizat) Un sistem de încredere este înțeles ca un sistem în care un SB dat a priori este îndeplinit cu un indicator dat cantitativ (de obicei probabilistic) Caracteristicile de securitate Linux includ atât mecanisme de securitate de bază, cât și extensii ale caracteristicilor de securitate În același timp, odată cu extinderea capacităților de protecție a informațiilor, este asigurată compatibilitatea deplină cu mecanismele existente de protecție a sistemului de operare UNIX Integritatea structurilor de date kernel Linux pe un sistem uniprocesor este protejată în două moduri: • nucleul nu poate descărca un proces și nu poate trece la contextul altuia dacă lucrarea este efectuată în modul kernel; • dacă, în timpul execuției unei secțiuni critice a programului, manipulatorul de întreruperi care apare poate deteriora structurile de date ale nucleului, atunci toate întreruperile care apar sunt mascate Pe un sistem multiprocesor, dacă două sau mai multe procese execută intervale critice în modul kernel pe procesoare diferite în același timp, poate apărea o încălcare a integrității nucleului chiar dacă se iau măsuri de protecție care ar fi destul de suficiente pe un sistem cu un singur procesor Este responsabilitatea nucleului să se asigure că nu pot apărea încălcări ale intervalelor critice Dacă problema pericolului apariția unei încălcări a integrității este lăsată deschisă (oricât de rare ar putea apărea astfel de încălcări), atunci miezul își va pierde invulnerabilitatea și comportamentul său va deveni imprevizibil Există trei moduri de a evita acest lucru: ) execută toate intervalele critice pe un singur procesor, bazându-se pe metode standard pentru menținerea integrității datelor într-un sistem cu un singur procesor; ) reglarea accesului la intervalele critice prin extinderea mecanismelor de blocare a resurselor; ) eliminarea concurenței pentru utilizarea resurselor critice prin reproiectarea adecvată a algoritmilor Din acest exemplu rezultă necesitatea unei înțelegeri profunde a relațiilor care există în sistem și, cel mai important, a tuturor consecințelor modificărilor efectuate O decizie majoră de luat la începutul instalării sistemului este numărul de administratori care vor întreține sistemul Există două soluții fundamental diferite - să ai un superutilizator root cu drepturi nelimitate sau mai mulți utilizatori cu responsabilități administrative distribuite Într-un sistem robust, sarcinile administrative se încadrează în mai multe roluri logice Fiecare rol este responsabil pentru menținerea unui aspect al sistemului Ideea unor roluri administrative specifice și sarcinile și responsabilitățile lor corespunzătoare este fundamentală pentru construirea unei securități puternice pe un sistem UNIX În UNIX, orice rol logic poate fi atribuit aceluiași utilizator sau diferiților membri ai unui grup administrativ de utilizatori Fiecare rol extins are propria sa autorizare asociată Acest link permite administratorului să mențină o evidență completă a activităților administrative Există, de exemplu, următorii administratori: ) administrator de utilități de sistem (System daemons); ) administrator de comenzi de sistem (Owner of system command); ) administrator de fișiere de sistem (Proprietar fișiere de sistem); ) administrator de contabilitate utilizator și terminal (Contabilitatea de sistem); ) administrator de serviciu UUCP (administrator UUCP); ) Administrator de autentificare; ) administrator de sistem cron (daemonul Cron); ) administrator mail (administrator Mmdf sau Sendmail); ) administrator de rețea organizat prin porturi (administrator Micnet); ) Administrator imprimante; ) Administrator de audit Odată cu introducerea componentelor suplimentare de sistem (DBMS, diverse tipuri de servicii etc ), în sistem apar administratorii corespunzători Toți administratorii lucrează împreună ca un superutilizator O astfel de schemă permite o împărțire clară a atribuțiilor și responsabilităților între persoanele care administrează și întrețin sistemul Luați în considerare procedura standard pentru identificarea și autentificarea unui utilizator Sistemul caută numele de utilizator în fișierul /etc/passwd, iar dacă utilizatorul este identificat (adică numele său este găsit), autentificarea constă în compararea imaginii de autentificare din parola introdusă cu șablonul Totodata, sunt prevazute si cateva reguli referitoare la caracteristicile parolei si la posibilitatea schimbarii acesteia Dar, după cum a arătat practica, aceste reguli nu sunt suficiente pentru a implementa o protecție fiabilă Într-un sistem de încredere, procedura standard de identificare și autentificare este extinsă Acesta oferă mai multe reguli cu privire la tipurile de parole utilizate Au fost introduse proceduri pentru generarea și modificarea parolelor S-a schimbat locația și mecanismul de protecție a unor părți din baza de date de parole Administratorul de autentificare are opțiuni suplimentare pentru controlul acțiunilor utilizatorului Pentru a consolida caracteristicile calitative și cantitative ale procedurilor de identificare și autentificare în UNIX (în special, în Linux), există următoarele mijloace de reguli pentru alegerea parolelor securizate Stabilirea de către administratorul contabilității utilizatorilor și terminalelor a anumitor cerințe pentru parole: • restrângerea lungimii minime a parolei introduse de utilizator; • Cerința ca parola să conțină un număr minim obligatoriu de litere mici, litere mari, cifre și caractere speciale; • împiedicarea utilizatorului de a introduce propriile parole; permisiunea de a introduce numai parolele generate de sistem Stabilirea de către administrator a limitelor de timp privind frecvența modificării și durata de viață a parolelor În același timp, pentru comoditatea utilizatorului, este posibil să se stabilească intervalul dintre începutul solicitării de schimbare a parolei și expirarea valabilității acesteia Blocarea automată a utilizatorului la intrarea în sistem după vârsta parolei, după numărul de încercări nereușite de autentificare Setarea numărului și numerelor de terminale pentru a intra în sistem pentru fiecare utilizator Verificarea de către sistem a parolelor utilizatorului la introducere pentru caracteristicile semantice și contextuale ale acestora (apariția unui identificator, nume de utilizator, repetarea caracterelor etc ) Stocarea parolelor criptate nu în /etc/passwd, ca în versiunile mai vechi, ci într-un fișier separat închis de acces Obținerea de informații statistice privind timpul de lucru al utilizatorului în sistem, blocarea acestuia, numărul terminalului etc Când este setată clasa de securitate C (vezi mai jos), administratorul nu poate înregistra un utilizator fără parolă (oaspete) În plus, există posibilitatea blocării, după numărul de încercări nereușite de autentificare, nu doar a utilizatorului, ci și a terminalului În acest caz, puteți seta intervalul de timp care trebuie să treacă între încercările de înregistrare Este, de asemenea, furnizată înregistrarea încercărilor de conectare reușite și nereușite O bună practică este să utilizați shell-ul rsh (restricționat) În primul rând, utilizatorul nu poate merge nicăieri din directorul său principal În al doilea rând, poate folosi numai comenzi din acele directoare care sunt definite în variabila de mediu PATH Cu toate acestea, utilizatorul nu poate modifica valoarea variabilei de mediu PATH În al treilea rând, utilizatorul nu poate specifica numele complete ale fișierelor de program și nu poate redirecționa fluxurile I/O În practică, este posibil să se creeze un mediu de utilizator izolat prin introducerea unei anumite comenzi (sistem, aplicație) în fișierul său batch de pornire ( profile), care va fi apelată prin comanda exec În această situație, la adăugarea comenzilor trap și exit în fișierul batch de pornire, utilizatorul va putea lucra numai cu comanda (programul) care i-a fost dată Evident, este posibilă implementarea cu succes a protecției prin parolă doar cu respectarea măsurilor organizaționale În același timp, adevărata amenințare de a depăși protecția cu parolă a sistemului de operare este lăsarea nesupravegheată a terminalului, pe care utilizatorul a trecut deja procedurile IA (înregistrat) În acest caz, trebuie să utilizați comenzile de blocare a terminalelor (lock, xlock) Există mijloace de a bloca automat terminalul după o anumită perioadă de timp Astfel de facilități sunt încorporate în unele interprete de comandă sau shell-uri grafice Cu toate acestea, utilizarea acestor instrumente trebuie pusă în balanță față de amenințarea introducerii unui program care simulează o blocare a ecranului și citește parola utilizatorului Sistemul trebuie să aibă o listă de terminale din care administratorii nu pot intra Protecția prin parolă este, de asemenea, utilizată pentru a securiza autentificarea utilizatorului de la distanță prin canalele de comunicație conectate la porturile seriale În acest caz, este posibil să setați o parolă separată pentru fiecare dispozitiv utilizat pentru autentificarea de la distanță (fișier special) Dacă introduceți parola greșită de la un sistem de la distanță, nu veți putea utiliza sistemul Până în prezent, în toate versiunile comerciale, mostrele de autentificare nu sunt stocate în fișierul /etc/passwd Cea mai mare atenție în problemele de protecție a sistemului de operare ar trebui acordată protecției sistemului de fișiere Sub protecția sistemului de fișiere se înțelege implementarea Consiliului de Securitate pentru subiecte - procese și obiecte - dosare Sistemul de fișiere din Linux are o structură arborescentă Blocul de acces direct este subdivizat în mai multe zone: ) bootloader; ) superbloc; ) zona de descriptori de index; ) zona dosarului; ) o zonă neutilizată pentru sistemul de fișiere (de exemplu, o zonă pentru procesele de descărcare) Superblocul este format din următoarele câmpuri: • dimensiunea sistemului de fișiere; • numărul de blocuri libere din sistemul de fișiere; • antetul listei de blocuri libere disponibile în sistemul de fișiere; • numărul următorului element din lista de blocuri libere; • dimensiunea zonei de index; • numărul de inoduri libere în sistemul de fișiere; • lista de indici liberi din sistemul de fișiere; • următorul index liber din lista de indici liberi; • câmpuri blocate pentru lista de blocuri libere și indici liberi; • un steag care indică faptul că s-au făcut modificări la superbloc Când un sistem de fișiere este montat, superblocul este scris în RAM și rescris atunci când este demontat Pentru a menține consistența cu datele stocate în sistemul de fișiere, nucleul periodic (după de secunde) rescrie superblock-ul pe disc (apelul de sistem de sincronizare, lansat din procesul de actualizare) Fiecare fișier din sistem are un index unic Un index este un bloc de control În literatură, este numit și un inod, i-node sau i-node Indexul conține informații de care orice proces are nevoie pentru a accesa un fișier, cum ar fi proprietatea fișierului, permisiunile fișierului, dimensiunea fișierului și locația datelor fișierului în sistemul de fișiere Procesează fișierele de acces folosind un set bine definit de apeluri de sistem și identifică fișierul cu un șir de caractere care acționează ca calea fișierului Fiecare nume compus identifică în mod unic un fișier, astfel încât nucleul traduce numele într-un index de fișier Indecșii există pe disc în formă statică, iar nucleul îi citește în memorie înainte de a începe să lucreze cu ei Indecii includ următoarele câmpuri ID-ul proprietarului fișierului și ID-ul grupului Tipul fișierului Fișierul poate fi un fișier de tip obișnuit, un director, un fișier special (caractere sau blocuri corespunzătoare dispozitivelor I/O, precum și un fișier de canal abstract care organizează serviciul solicitărilor în ordinea sosirii: "primul în - primul ieşit") Permisiuni pentru fișiere Drepturile de acces la fișiere sunt împărțite între proprietarul individual, grupul de utilizatori care include proprietarul fișierului și toți ceilalți Superutilizatorul (un utilizator numit root) are acces la toate fișierele din sistem Fiecărei clase de utilizatori i se atribuie anumite drepturi de a citi, scrie și executa un fișier, care sunt setate individual Deoarece directoarele ca fișiere nu pot fi executate, permisiunea de execuție este interpretată aici ca dreptul de a căuta directorul după numele fișierului, iar dreptul de scriere ca dreptul de a crea și distruge fișiere în el Informații temporale care caracterizează lucrarea cu fișierul: ora ultimelor modificări la fișier, ora ultimului acces la fișier, ora ultimelor modificări la index Numărul de pointeri către inodul, indicând numărul de nume de fișiere care se referă la fișierul dat Tabel de adrese ale blocurilor de disc în care se află informațiile fișierului Deși utilizatorii tratează informațiile dintr-un fișier ca pe un flux logic de octeți, nucleul aranjează acele date în blocuri de disc necontigue Dimensiunea fișierului în octeți Rețineți că indexul nu conține calea necesară pentru a accesa fișierul Conținutul fișierului se modifică numai atunci când fișierul este scris Conținutul indexului se modifică atât când se modifică conținutul fișierului, cât și când se schimbă proprietarul fișierului, drepturile de acces etc Modificarea conținutului unui fișier determină automat o corecție a indexului, dar o corecție a indexului nu înseamnă o modificare a conținutului fișierului Când un fișier este deschis, indexul este copiat în memorie și scris înapoi pe disc atunci când ultimul proces care utilizează fișierul îl închide Copia indexului în memorie, pe lângă câmpurile indexului discului, include următoarele câmpuri Starea indexului în memorie, reflectând: • dacă indexul este blocat; • dacă vreun proces așteaptă ca blocarea să fie eliberată din index; • dacă reprezentarea în memorie a indexului diferă de copia sa pe disc ca urmare a modificării conținutului indexului; • dacă reprezentarea în memorie a indexului diferă de copia sa pe disc ca urmare a modificării conținutului fișierului; • dacă indicatorul fișierului este la început Numărul dispozitivului logic al sistemului de fișiere care conține fișierul Număr index Deoarece inodurile de pe disc sunt stocate într-o matrice liniară, nucleul identifică un număr de inod de disc după locația sa în matrice Acest câmp nu este necesar într-un index de disc Indicatori către alți indici din memorie Link counter, care înseamnă numărul de instanțe active ale fișierului (cele care sunt deschise) Multe dintre câmpurile din copia în memorie a indexului sunt aceleași cu cele din antetul bufferului, iar gestionarea indexului este similară cu gestionarea bufferului Indexul este, de asemenea, blocat, împiedicând alte procese să lucreze la el Aceste procese stabilesc un steag special în index care indică faptul că procesele care accesează indexul ar trebui reluate de îndată ce blocarea este eliberată Prin setarea altor steaguri, nucleul marchează discrepanța dintre inodul discului și copia sa în memorie Când nucleul trebuie să scrie modificări într-un fișier sau într-un inod, nucleul va scrie o copie a inodului din memorie pe disc numai după ce aceste steaguri au fost verificate Directoarele (directoarele) sunt fișiere din care este construită structura ierarhică a sistemului de fișiere Ele joacă un rol important în transformarea unui nume de fișier într-un număr de inod Un director este un fișier al cărui conținut este un set de înregistrări constând dintr-un număr de inod și numele fișierului inclus în director Un nume compus este un șir de caractere care se termină cu un caracter gol și este separat printr-o bară oblică ("/") în mai multe componente Fiecare componentă, cu excepția ultimei, trebuie să fie numele unui director, dar ultima componentă poate fi numele unui fișier care nu este un director Numele directorului rădăcină este "/" Pe UNIX, lungimea fiecărei componente este de caractere Astfel, împreună cu cei doi octeți alocați numărului de inod, dimensiunea intrării din director este de octeți În mod tradițional, în sistemele de fișiere UNIX, accesul la toate tipurile de fișiere (fișiere, directoare și fișiere speciale) este gestionat de nouă biți, care sunt stocați în i-node Primul grup de trei biți determină permisiunile proprietarului fișierului, al doilea - pentru membrii grupului proprietarului, iar al treilea - pentru toți ceilalți utilizatori De exemplu, permisiunile "rwxr-xr " pentru un fișier înseamnă că proprietarul fișierului are acces deplin, membrii grupului au capacitatea de a citi și de a executa, toți ceilalți au capacitatea de a citi doar acest fișier Pentru un director, setarea bitului de execuție "x" înseamnă abilitatea de a căuta (prelua) fișiere din acest director Un astfel de sistem de protecție a fișierelor există de mult timp și nu provoacă plângeri semnificative Într-adevăr, pentru a manual, i e fără a utiliza apeluri de sistem și comenzi pentru a schimba permisiunile fișierelor, trebuie să aveți acces la zona i-nodes Pentru a avea acces la zona i-node, trebuie să modificați permisiunile unui fișier special (de exemplu, /dev/root), ai cărui biți de acces sunt stocați și în zona i-node Cu alte cuvinte, dacă nu stricăți accidental sau intenționat drepturile de acces la toate fișierele sistemului, setate implicit (de obicei corect) în timpul instalării, atunci este posibil cu un grad ridicat de probabilitate să garantați siguranța sistemului ( în sensul efectuării PB) Conform principiilor de construire a sistemului de operare UNIX, este necesar un al patrulea bit, care determină drepturile de executare a fișierului executabil Al patrulea bit este în general interpretat ca abilitatea de a schimba ID-ul utilizatorului Sarcina sa semantică variază în funcție de grupul de biți de acces în care este setat Dacă al patrulea bit este setat în grupul de biți proprietar (setuid), atunci acest program este executat pentru orice utilizator cu drepturi de proprietar pentru acest fișier Există o mulțime de astfel de comenzi în orice sistem UNIX Iată un exemplu banal de utilizare a unui fișier neînregistrat cu setul de biți setuid Odată, după ce a învățat parola oricărui utilizator, atacatorul creează o copie a shell-ului în directorul său principal sau în altă parte, astfel încât să nu fie recunoscut, de exemplu, într-un arbore adânc în /usr/tmp (rețineți că munca recursivă cu arborele este foarte limitată în adâncime și este de aproximativ ) Face un alt utilizator proprietarul fișierului și drepturile acestuia setează bitul setuid Până când acest fișier este distrus, atacatorul va folosi drepturile altui utilizator Evident, dacă în acest exemplu un atacator învață din greșeală parola superutilizatorului o dată, atunci el va avea drepturi depline asupra acesteia Prin urmare, ar trebui să verificați în mod regulat toate sistemele de fișiere pentru fișiere neînregistrate cu bitul setuid setat Dacă al patrulea bit este setat în grupul de biți de permisiunea membrului grupului (setgid), atunci programul este executat de orice utilizator cu permisiuni de membru al grupului în acest fișier Utilizarea bitului setgid pe sistemele UNIX este mult mai puțin comună decât a bitului setuid, dar tot ceea ce s-a spus despre posibilele amenințări la setarea bitului setuid este adevărat pentru bitul setgid Dacă bitul setgid este setat pentru un director, aceasta înseamnă că toate fișierele create de utilizator în acel director vor avea identificatorul de grup setat la același cu cel al directorului Dacă al patrulea bit este setat în grupul de biți de permisiune pentru toți ceilalți utilizatori (sticky), atunci acest lucru indică sistemului de operare să creeze o imagine text specială a fișierului executabil Astăzi, sticky bit nu este folosit în mod obișnuit pentru un fișier executabil Este folosit doar pentru cărți de referință Setarea acestuia pentru un director înseamnă că utilizatorii nu au dreptul de a șterge sau redenumi fișierele altor utilizatori din acest director Acest lucru este necesar, în primul rând, pentru directoarele /tmp și /usr/tmp, astfel încât un utilizator să nu poată deteriora accidental sau deliberat procesul muncii altui utilizator Cea mai frecventă greșeală de administrator este setarea variabilei de mediu PATH la valoarea directorului curent Acest lucru se face pentru comoditate, pentru a nu introduce caracterele " /" înainte de fiecare comandă a directorului curent Cel mai rău dintre toate, dacă această valoare este setată la început (de exemplu: PATH= :/bin:/usr/bin:/etc) În acest caz, este suficient ca un atacator să plaseze propriile imagini ale celor mai comune comenzi (îs, ps etc ) în directorul /tmp sau /usr/tmp și consecințele tastării unei secvențe de comenzi inofensive (pentru de exemplu, cd /tmp; Îs) va fi dificil de prezis De obicei, în mod implicit, directorul curent nu este setat în variabila de mediu PATH De asemenea, se poate termina prost pentru sistem atunci când încearcă să ruleze programe de utilizator necunoscute din directoarele lor de acasă sau generale Bitul sticky pentru director poate fi setat doar de administrator Evident, el poate șterge fișierele oricărui utilizator din acest director Pentru a crește fiabilitatea sistemului, trebuie setați biți sticky pentru toate directoarele comune O caracteristică importantă a implementării sistemului de protecție a informațiilor este ștergerea biților setuid, setgid și sticky pentru fișierele în care sunt scrise Acest lucru șterge biții chiar și pentru fișierele deținute de același utilizator Ștergerea biților listați pentru directoare nu este efectuată Unele sisteme UNIX (de exemplu, Solaris) oferă opțiuni suplimentare pentru gestionarea drepturilor de acces la fișiere utilizând liste de control acces Acest mecanism permite fiecărui utilizator sau unui grup separat să seteze drepturi de acces individuale la un anumit fișier În același timp, listele de acces sunt salvate de toate instrumentele de copiere și arhivare ale sistemului Nu se poate spune că introducerea acestui mecanism îmbunătățește fundamental protecția fișierelor, dar introduce o oarecare flexibilitate în procedura de formare a drepturilor de acces la fișiere Luați în considerare valoarea variabilei de sistem umask Setează permisiunile implicite pentru un fișier atunci când este creat Valoarea variabilei umask determină ce biți vor fi mascați Dacă valoarea variabilei umask este modificată din orice motiv, atunci acest lucru poate duce la consecințe imprevizibile Din această cauză, fiecare utilizator trebuie să seteze în mod explicit valoarea variabilei umask în fișierul de pornire ( profile, sau cshrc sau altele asemenea) Este necesar să setați corect permisiunile pentru fișierele speciale Rețineți că pot exista mai multe fișiere speciale pentru același dispozitiv fizic, în funcție de metoda de acces (de exemplu, /dev/root și /dev/rroot) Ar trebui să se acorde atenție asigurării modului de protecție a informațiilor atunci când se importă date din alte sisteme În cel mai general caz, programele de arhivare resetează modurile fișierelor care pot afecta securitatea sistemului Cu toate acestea, numărul de versiuni ale programelor arhivate și implementările acestora pe diferite sisteme UNIX este destul de semnificativ De exemplu, unele versiuni ale comenzii tar acceptă opțiuni care nu schimbă proprietarul și proprietatea grupului unui fișier Unele sisteme UNIX permit copierea fișierelor speciale folosind comanda tar O atenție deosebită trebuie avută atunci când utilizați comanda crio, deoarece poate face o copie a fișierelor cu păstrarea completă a tuturor biților (setuid, setgid și sticky) și proprietate și proprietar de grup La montarea sistemelor de fișiere create sau procesate pe alte sisteme, pot apărea aceleași probleme ca și în cazul fișierelor importate Pentru sistemele de fișiere, există probleme suplimentare Prima problemă este că un sistem de fișiere transferat dintr-un alt sistem poate fi corupt Erorile logice din sistemul de fișiere pot fi remediate cu comanda fsck înainte de montare Mult mai rău UNIX se referă la eșecurile fizice de pe discuri În ambele cazuri, montarea unui sistem de fișiere defect poate să prăbușească sistemul, cauzând coruperea suplimentară a datelor în sistemul de fișiere importat stem sau deteriorarea altor sisteme de fișiere din cauza efectelor secundare Se știe că costul refacerii unui sistem este mai mare decât costul întreținerii acestuia A doua problemă cu sistemele de fișiere importate se poate datora permisiunilor setate pentru fișiere și directoare, care ar putea să nu fie valide pentru sistemul dumneavoastră În acest caz, puteți utiliza comanda corespunzătoare (de exemplu, ncheck) pentru a detecta setările diferiților biți (setuid, setgid, sticky) Numai navigarea manuală poate fi oferită pentru a găsi setări incorecte pentru fișierele proprietar și grup într-un sistem de fișiere importat În conformitate cu cerințele pentru clasa de protecție, sistemul de operare trebuie să izoleze resursele protejate în măsura în care este dictat de cerințele de control și responsabilitate Integritatea sistemului trebuie să fie controlată de sistemul de operare În sistemul de operare UNIX, controlul integrității sistemului este realizat printr-un număr de comenzi Oferim fără descriere lista principală de comenzi pentru monitorizarea și menținerea integrității sistemului: integrity, authck, fixmog, cps, tcbck, smmck, authckre, fsck Practica arată că acest set de comenzi este destul de complet pentru a controla și a restabili integritatea sistemului Secvența standard de acțiuni după apariția unei defecțiuni în sistem sau a oricăror alte abateri este următoarea: ) efectuarea unei verificări a sistemului de fișiere; ) întocmirea raportului de control; ) verificarea bazei de date de autentificare; ) verificarea permisiunilor pentru fișierele de sistem Instrumentele de recuperare a integrității sistemului funcționează până la o anumită limită A fost efectuat următorul experiment: ) tuturor fișierelor din sistem li sa atribuit rădăcina proprietarului; ) toate fișierele din sistem aveau drepturi de acces setate cu valoarea implicită a variabilei de sistem de demascare Ca urmare a acestor acțiuni, instrumentele de sistem nu au reușit să restabilească drepturile de acces normale și proprietarii de fișiere Un astfel de experiment are o bază foarte vitală, de exemplu, atunci când se înmulțește sistemul cu alte computere printr-o rețea Prin urmare, singura modalitate de a duplica sistemul pe alte computere ar trebui luată în considerare folosind comanda crio Permisiunile implicite și proprietarii unor fișiere nu se potrivesc cu baza de date a integrității sistemului Autorii nu au investigat impactul acestor inconsecvențe asupra securității și integrității sistemului Vom considera că o acțiune este controlată dacă este posibil să se calculeze utilizatorul real care a efectuat-o Conceptual, la construirea unui sistem de operare UNIX, unele acțiuni nu pot fi controlate la nivelul acțiunilor unui utilizator real De exemplu, bugetele utilizatorilor, cum ar fi p, srp sau uucp, sunt utilizate în mod anonim, iar activitatea lor poate fi detectată numai prin modificări ale informațiilor de sistem Sistemul de control înregistrează în sistem evenimente legate de protecția informațiilor, scriindu-le în pista de audit Traseele de audit pot surprinde intruziunile în sistem și utilizarea greșită a resurselor Control vă permite să vizualizați datele colectate pentru a înțelege tipurile de acces la obiecte și pentru a observa acțiunile utilizatorilor individuali și procesele acestora Încercările de încălcare a mecanismelor de securitate și autorizare sunt controlate Utilizarea unui sistem de monitorizare oferă un grad ridicat de asigurare că sunt detectate încercări de ocolire a mecanismelor de securitate Deoarece evenimentele de securitate a informațiilor sunt monitorizate și luate în considerare până la identificarea unui anumit utilizator, sistemul de control servește ca un factor de descurajare pentru utilizatorii care încearcă să utilizeze abuziv sistemul După cum este cerut de sistemele de încredere, sistemul de operare trebuie să creeze, să mențină și să protejeze un jurnal de informații de înregistrare legate de accesul la obiectele controlate de sistemul de operare Ar trebui să fie posibilă înregistrarea următoarelor evenimente: • utilizarea mecanismului AI; • adăugarea de obiecte în spațiul de adrese al utilizatorului (de exemplu, deschiderea unui fișier); • stergerea obiectelor; • acțiuni ale administratorilor și alte evenimente care afectează securitatea informațiilor Fiecare înregistrare de înregistrare trebuie să includă următoarele câmpuri Data și ora evenimentului ID utilizator Tipul evenimentului Rezultatul acțiunii Pentru evenimentele IA, ID-ul dispozitivului este de asemenea înregistrat Pentru acțiunile obiectelor, numele obiectelor sunt înregistrate Tipurile de evenimente acceptate și conținutul lor în IA sunt prezentate în tabel Sistemul de control folosește apeluri de sistem și utilități pentru a clasifica acțiunile utilizatorului, subdivizându-le în evenimente de diferite tipuri De exemplu, atunci când are loc un eveniment de tipul "Denials DAC" (negarea accesului la implementarea mecanismului de Tabelul Tipuri de evenimente acceptate și conținutul acestora în IA Nr Tip Conținut Pornire / Oprire Pornire (pornire) / oprire a sistemului Conectare / Deconectare Conectare și deconectare reușite Proces Creați/Ștergeți Creați/distrugeți un proces Faceți obiectul disponibil Faceți disponibil un obiect (deschideți fișierul, deschideți mesajele, deschideți semaforul, montați sistemul de fișiere etc ) Hartă obiect cu subiect Hartă obiect cu subiect (execuția programului) Modificarea obiectului Modificarea obiectului (scrierea într-un fișier etc ) Faceți obiectul indisponibil Faceți indisponibilitatea unui obiect (închideți fișierul, închideți mesajul, închideți semaforul, demontați sistemul de fișiere etc ) Crearea obiectelor Crearea obiectelor (crearea fișierului/mesajului/semaforului etc ) Ștergerea obiectului Ștergerea unui obiect (ștergerea unui fișier/mesaj/semafor etc ) modificări DAC Schimbarea controlului accesului (modificarea accesului la un fișier, mesaj, semafor, schimbarea proprietarului etc ) refuzuri DAC Acces refuzat (lipsa drepturilor de acces la orice obiect) Acțiuni ale administratorului / operatorului Acțiuni (comenzi) ale administratorilor și operatorilor de sistem Procese de autorizare insuficiente care încearcă să-și depășească autoritatea Respingeri de resurse Funcții IPC Trimiterea de semnale și mesaje către procese Modificări ale procesului Modificări ale procesului (schimbarea ID-ului procesului efectiv, referință curentă a procesului etc ) Audit evenimentele subsistemului Audit evenimentele subsistemului (activare/dezactivare auditul sistemului și modificarea evenimentelor de audit) Evenimente de bază de date Evenimente de bază de date (modificarea datelor de securitate a sistemului și a integrității acestora) Sfârșitul mesei Nr Tip Conținut Evenimente subsistem Evenimente subsistem (utilizarea subsistemelor protejate) Utilizarea autorizației Utilizarea privilegiilor (controlul acțiunilor folosind diverse privilegii) Strong Access Control) înregistrează încercările de a utiliza un obiect care nu este permis de permisiunile obiectului Cu alte cuvinte, dacă un proces de utilizator încearcă să scrie într-un fișier cu acces numai pentru citire, atunci este declanșat un eveniment de tip "DAC Denials" Dacă vă uitați la pista de audit, puteți vedea încercări repetate de a accesa fișiere pentru care nu au fost obținute permisiuni Crește semnificativ eficiența controlului prin prezența unui identificator de înregistrare a utilizatorului (LUID) După ce utilizatorul a trecut de procedurile de identificare și autentificare, i e autentificare directă, fiecărui proces creat de un utilizator i se atribuie un ID de conectare al utilizatorului Acest identificator persistă în ciuda tranzițiilor de la un buget de utilizator la altul folosind comenzi precum su Fiecare pistă de audit generată de sistemul de audit conține, pentru fiecare proces, un ID de înregistrare împreună cu ID-urile de utilizator și grup efective și reale Astfel, este posibil să luați în considerare acțiunile utilizatorului Luați în considerare implementarea mecanismului de control pentru nucleu Acest mecanism generează înregistrări de audit pe baza activităților proceselor utilizatorului folosind apeluri de sistem kernel Fiecare apel de sistem kernel conține un rând în tabel care indică relația sa cu problemele de securitate a informațiilor și tipului de eveniment căruia îi corespunde În plus, este utilizat un tabel de coduri de eroare, care face posibilă clasificarea apelurilor de sistem în evenimente specifice legate de securitatea informațiilor De exemplu, apelul de sistem deschis este clasificat ca un eveniment "Make object available" Dacă utilizatorul lansează un apel de sistem deschis pe fișierul /ipix și acel apel de sistem reușește, este generată o pistă de audit pentru acest eveniment Cu toate acestea, dacă apelul de sistem deschis eșuează deoarece utilizatorul a solicitat acces de scriere la fișierul /ipix din apelul de sistem fără a avea permisiunea, atunci această acțiune este clasificată ca un eveniment "Acces refuzat" pentru dat utilizator nou și obiect /unix Prin urmare, un apel de sistem poate fi mapat la mai multe tipuri de evenimente în funcție de obiectul accesat și/sau de rezultatul apelului Cu toate acestea, trebuie avut în vedere că atunci când toate evenimentele de control sunt activate și utilizatorii lucrează activ, cantitatea de informații înregistrate poate ajunge la câțiva megaocteți per utilizator pe oră Atunci când se construiește protecția proceselor de procesare a informațiilor la nivel de rețea, există unele particularități În primul rând, datorită posibilității de a intercepta pachete și de a transmite parole în clar de către anumite tipuri de servicii, este nevoie de autentificare suplimentară a utilizatorului În al doilea rând, este nevoie de autentificarea mașinilor de la distanță În al treilea rând, sunt necesare mijloace suplimentare de control (audit) asupra evenimentelor care apar atunci când se lucrează la nivel de rețea Trebuie precizat că la nivel de rețea, Linux nu are instrumente de protecție standard atât de puternice ca la nivel de sistem Prin urmare, având în vedere condițiile de eterogenitate a mediului de rețea, atât la nivel fizic, cât și la nivel de sistem, sunt de obicei necesare măsuri suplimentare de securitate pentru a proteja cu succes sistemele UNIX atunci când se lucrează într-o rețea Această secțiune este dedicată descrierii instrumentelor și metodelor standard care pot fi utilizate pentru a îmbunătăți securitatea sistemelor UNIX atunci când se lucrează într-o rețea și se implementează diferite funcții: utilizarea protocoalelor TCP / IP, sistemul de fișiere de rețea NFS, FTP etc Principalul dezavantaj al familiei de protocoale TCP/IP în ceea ce privește securitatea informațiilor este deschiderea informațiilor transmise prin rețea, adică grafica de retea Analiza graficului de rețea se realizează prin interceptarea și analiza pachetelor de schimb la nivelul legăturii de date Acest lucru permite, în primul rând, să se analizeze funcționarea sistemului de operare în rețea; în al doilea rând, să producă acces neautorizat la informațiile transmise prin rețea De exemplu, analiza graficului de rețea vă permite să obțineți parolele utilizatorilor atunci când lucrează cu FTP sau telnet În acest caz, telnet trimite parola un caracter pe pachet, iar FTP trimite întreaga parolă într-un singur pachet Deficiențele asociate cu interceptarea parolelor prin rețea în timpul accesului de la distanță sunt acum rezolvate cu succes Aproape toți furnizorii UNIX au reproiectate programe de acces la distanță pentru server (uneori client) Principiul rafinamentului este că pentru fiecare sesiune de comunicare este setată o parolă unică Există destul de multe implementări diferite ale acestei idei în acest moment Cu toate acestea, având închis sau securizat într-un fel sau altul interceptarea parolelor, singura modalitate de a scăpa de interceptarea tuturor celorlalte informații transmise prin rețea este criptarea traficului Iată câteva deficiențe mai bine cunoscute în implementarea protecției familiei de protocoale TCP/IP Este bine cunoscut faptul că problema atribuirii adreselor IP este foarte serioasă Dacă instalați un sistem de atribuire automată a adreselor IP, atunci va exista un număr mare de dificultăți în operarea diferitelor tipuri de servicii asociate cu o adresă IP (de exemplu, NFS) În plus, încercările de a crea servere și stații de lucru false vor fi simplificate Dacă atribuiți adrese IP manual, ceea ce este mai de preferat atunci când construiți sisteme securizate, atunci erorile de administrare sunt posibile În același timp, studiile au arătat că nu există instrumente gata făcute pentru detectarea mașinilor cu aceleași adrese IP sau incorecte, iar funcționarea mașinilor cu aceleași adrese IP în rețea este imprevizibilă Acest fapt va fi deosebit de critic atunci când se construiesc instrumente de filtrare sau de criptare pentru grafica de rețea (firewall-uri) pe platforma Linux Este obișnuit chiar și în rețelele IP locale să se creeze un DNS (Domain Name System)-cepBepoB Acest lucru simplifică problema atribuirii adreselor IP și scutește utilizatorilor de stații locale sarcina obositoare de a scrie numele stațiilor și adresele IP corespunzătoare în fișierul hosts În plus, utilizatorul stației locale nu știe și nu poate cunoaște toate adresele IP Funcționarea normală a mai multor rețele locale, și cu atât mai mult a celor globale, este imposibilă fără un server DNS Cu toate acestea, de îndată ce există vreo conexiune între stația de lucru și server, este necesar să se implementeze identificarea și autentificarea acestei conexiuni În cazul implementării serverului DNS, aparent, se credea că pentru a asigura protecția funcționării acestuia, mijloacele protocoalelor familiei IP erau suficiente Ideea implementării unui server DNS fals este destul de simplă - ascultarea unei cereri DNS prin rețea și generarea unui răspuns DNS fals În acest caz, în locul adresei IP cerute în răspunsul la cerere, se înlocuiește adresa unui server IP fals Realizarea acestei idei este reală din două motive În primul rând, datorită existenței unei anumite ierarhii a serverelor DNS (pentru rețele mari, poate fi foarte mare și necunoscut), timpul de execuție a unei cereri DNS poate depăși semnificativ timpul necesar procesării unei cereri ascultate și trimiterii unui răspuns către un server DNS fals; În al doilea rând, dacă serverul DNS primar nu găsește singur numele dorit, atunci trimite cererea DNS către următorul server DNS și așa mai departe Pentru adresarea într-o rețea Ethernet se folosește protocolul ARP, care vă permite să stabiliți o corespondență unu-la-unu între adresele IP și Ethernet Ideea înlocuirii routerului se bazează pe proprietățile implementării protocolului ARP Orice stație de lucru care se conectează la rețea trimite o cerere de difuzare ARP pentru a obține adrese Ethernet Ascultând în rețea, routerul necinstiți emite un răspuns ARP către rețea, în care își indică adresa Ethernet Se știe că este posibil să scrieți programe adecvate pentru placa de rețea pentru a seta orice adresă Ethernet Implementarea acestei înlocuiri este posibilă datorită faptului că toate stațiile care primesc o solicitare ARP introduc mai întâi adresa Ethernet a stației de lucru în tabelele lor ARP și apoi trimit un răspuns În cadrul comunicării inter-rețele în rețelele UNIX, este utilizată metodologia relațiilor de încredere Relațiile de încredere sunt unul dintre cele mai convenabile mijloace de interfuncționare în rețelele UNIX În același timp, stabilirea de relații de încredere în rețelele UNIX duce la deschiderea lor completă Există două moduri de a stabili relații de încredere în rețelele UNIX Prima cale este prin crearea fișierului /etc/hosts equiv Fișierul /etc/hosts equiv specifică numele computerelor ai căror utilizatori se pot conecta la această mașină fără a introduce o parolă atunci când numele sunt echivalente Acest lucru este convenabil pentru utilizatori atât atunci când se conectează la alte mașini UNIX din rețea, cât și când execută comenzi de la distanță (login, rsh etc ) Cu toate acestea, aceasta este o mare gaură de securitate în sistemele UNIX, deoarece nu este dificil să înlocuiți o mașină de încredere prin generarea unui nume și adresă IP adecvate pentru o mașină falsă Cu o rețea / , acest lucru este posibil atunci când o mașină de încredere eșuează sau este deconectată de la rețea În caz contrar, mașina de încredere va fi cea care se conectează prima A doua modalitate este ca fiecare utilizator să creeze un fișier rhosts în directorul său principal În acest fișier, utilizatorul poate specifica numele mașinilor de încredere de la care se poate conecta la această mașină sau poate executa comenzi de la distanță fără a introduce o parolă Riscurile de securitate ale creării fișierelor rhosts sunt similare, singura diferență fiind că numărul de fișiere rhosts poate fi foarte mare și greu de controlat O poziție specială este ocupată de tehnologia UNIX cu sistemul de fișiere din rețea Sistemul de fișiere de rețea (NFS - Network File System) este proiectat pentru accesul "transparent" al utilizatorilor la sistemele de fișiere ale mașinilor UNIX din rețea Acest confort are mai multe dezavantaje de securitate Un administrator vă poate pune la dispoziție fișierele fără să vă întrebe Să ne uităm la câteva aspecte ale securității atunci când folosiți NFS Fișierul /etc/exportfs este unul dintre fișierele principale din configurația NFS Acest fișier descrie directoarele care sunt exportate (disponibile) în rețea Restricții de acces suplimentare pot fi specificate pentru fiecare nume de director: ) numele mașinilor ( conectează numele gazdă tftp>get/etc/motd Cod de eroare : fișierul nu a fost găsit tftp > ieși % Aceasta este o vulnerabilitate cunoscută în versiunile mai vechi de TFTP Dacă fișierul este transferat, atunci trebuie să actualizați versiunea TFTP E-mailul este un obiect special al securității informațiilor în activitatea oricărei întreprinderi A fost și rămâne una dintre principalele amenințări de securitate Se poate susţine că în serviciile poştale s-au găsit cel mai mare număr de "găuri", care încă mai apar periodic Până în prezent, sistemul de operare UNIX utilizează diverse servicii de e-mail Documentația afirmă că mmdf este mai flexibil și mai ușor de personalizat Cu toate acestea, datorită apariției ulterioare a serviciului de poștă mmdf, acesta nu a devenit la fel de răspândit ca sendmail Din acest motiv, această lucrare acoperă doar problemele de securitate cu ajutorul serviciului de e-mail sendmail Iată pașii pe care trebuie să îi urmați pentru a asigura securitatea serviciului de e-mail sendmail Eliminați alias-ul "decodificare" din fișierul /usr/lib/aliases Dacă creați aliasuri care permit trimiterea mesajelor către programe, fiți absolut siguri că acest lucru nu va duce la invocarea shell-ului sau la trecerea parametrilor shell-ului Verificați dacă sendmail nu acceptă modul de depanare folosind următoarele comenzi: % telnet localhost -ComputerName Sendmail xx xx gata la depanarea "Data Time" Comanda nerecunoscută părăsi % Opțiunea din telnet înseamnă numărul portului pe care rulează protocolul smtp (vezi fișierul /etc/services) Actualizați versiunea dacă sendmail intră în modul de depanare Astfel, utilizarea corectă a instrumentelor standard UNIX OS vă permite să construiți CS-uri securizate În același timp, protecția la nivel de rețea necesită utilizarea unor instrumente suplimentare, în primul rând sisteme de autentificare în rețea (Kerberos) și firewall-uri Rețineți că unele sisteme UNIX includ caracteristici de securitate standard, de exemplu, un client de sistem Kerberos Ca perspective de dezvoltare a securității informațiilor în sistemele UNIX, ar trebui evidențiată includerea mecanismelor de autentificare standardizate, instrumente de criptare a traficului de rețea și diferite capacități asociate cu implementarea firewall-urilor Software şi hardware pentru asigurarea securităţii informaţiilor în reţele de calculatoare În cazul general, atunci când interacționăm cu CS, avem de-a face fie cu CS concentrat, fie cu distribuție (RCS), care secara reprezintă un set de CS concentrate conectate într-un singur sistem cu ajutorul unui subsistem de comunicare În acest caz, calculatoarele individuale, inclusiv PC-urile, sistemele și complexele computerizate, precum și rețelele locale de calculatoare, pot fi CS-uri concentrate În prezent, stațiile de abonat neinteligente care nu au computere în componența lor practic nu sunt utilizate Prin urmare, este legitim să considerăm că cea mai mică unitate structurală a RCS este un computer CS distribuite sunt construite pe tehnologii de rețea și reprezintă, de asemenea, VS Subsistemul de comunicare include: • module de comunicare (CM); • canale de conectare; • concentratoare; • gateway (poduri) Funcția principală a modulelor de comunicație este de a transfera pachetul primit la un alt CM sau stație de abonat în conformitate cu ruta de transmisie Modulul de comunicație este numit și centru de comutare de pachete Canalele de comunicație combină elementele rețelei într-o singură rețea Canalele pot avea rate de date diferite Hub-urile sunt folosite pentru compactarea informațiilor înainte de a le transmite pe canale de mare viteză Gateway-urile (punțile) sunt folosite pentru a conecta o rețea la o rețea LAN sau pentru a conecta segmente WAN Podurile conectează segmente de rețea cu aceleași protocoale de rețea În orice DCS, în conformitate cu scopul funcțional, se pot distinge trei subsisteme: • utilizator (abonat); • management; • comunicare Subsistemul utilizator (abonat) include sisteme informatice ale utilizatorilor (abonați) și este conceput pentru a răspunde nevoilor utilizatorilor în stocarea, prelucrarea și primirea informațiilor Prezența unui subsistem de control vă permite să combinați toate elementele DCS într-un singur sistem în care interacțiunea elementelor se realizează conform unor reguli uniforme Subsistemul asigură interacțiunea elementelor sistemului prin colectarea și analizarea informațiilor de serviciu și influențarea elementelor pentru a crea condiții optime de funcționare a întregii rețele Subsistemul de comunicații asigură transmiterea informațiilor în rețea în interesul utilizatorilor și controlul DCS O caracteristică a protecției obiectelor DCS este necesitatea de a sprijini mecanisme de autentificare și control al accesului pentru procesele de la distanță la resursele obiectului, precum și prezența sistemelor informatice de comunicații speciale în rețea Având în vedere importanța problemei de autentificare a proceselor (utilizatorilor) de la distanță, mecanismele de rezolvare a acesteia sunt separate într-un grup separat Toate elementele subsistemului de comunicații, cu excepția canalelor de comunicație, sunt considerate sisteme informatice de comunicații specializate În rețelele corporative securizate, este recomandabil să amplasați hub-uri, module de comunicație (servere), gateway-uri și punți la facilități împreună cu CS-urile utilizatorului O caracteristică a tuturor CS de comunicare este informația care este procesată de aceste sisteme În astfel de CS, se efectuează procesarea semantică numai a informațiilor de serviciu Informațiile de serviciu includ informații despre adresă, informații redundante pentru a proteja mesajele de distorsiuni, identificatori de utilizator, marcaje temporale, numere de mesaje (pachet), atribute de criptare și alte informații Informațiile utilizator conținute în mesaje (informații de lucru) la nivelul comunicației CS sunt considerate ca o secvență de biți care trebuie livrați prin subsistemul de comunicații fără modificări Prin urmare, în astfel de sisteme există o posibilitate fundamentală de a nu dezvălui conținutul informațiilor de lucru Nu ar trebui să fie disponibil operatorilor și altor personal de întreținere a sistemelor informatice de comunicații pentru vizualizare pe ecranul monitorului, schimbare, distrugere, multiplicare, stocare în memoria disponibilă sau obținerea unei copii pe hârtie Astfel de informații nu ar trebui să fie stocate pe dispozitive de stocare externe după transmiterea cu succes a mesajului către un alt element al subsistemului de comunicații În sistemele închise, informațiile de lucru, în plus, circulă sub formă criptată în cadrul subrețelei de comunicații În același timp, criptarea liniară este efectuată în subsistemul de comunicații, iar criptarea end-to-end în subsistemul abonat Înainte de a trimite, abonatul criptează mesajul folosind o cheie simetrică sau publică La intrarea în subsistemul de comunicații, mesajul este supus criptării liniare, chiar dacă criptarea abonatului nu a fost efectuată Cu criptarea liniară, mesajul este criptat complet, inclusiv toate datele de serviciu, iar criptarea liniară poate fi efectuată într-o rețea cu chei diferite În acest caz, un atacator, având o singură cheie, poate obține acces la informațiile transmise pe un număr limitat de canale bani gheata Dacă sunt utilizate chei diferite, atunci nu numai informațiile de serviciu sunt decriptate în modulele de comunicație, ci întregul mesaj este decriptat (informațiile de lucru rămân criptate la nivel de abonat) În conformitate cu informațiile despre serviciul deschis, integritatea mesajului este verificată, este aleasă ruta ulterioară și "chitanța" este trimisă expeditorului Mesajul este criptat cu o cheie nouă și transmis prin canalul de comunicare corespunzător Trebuie luate măsuri speciale de securitate în legătură cu centrul de control al rețelei Având în vedere concentrația de informații care este critică pentru funcționarea întregii rețele, este necesară utilizarea celor mai avansate mijloace de protejare a informațiilor CS-ului unui administrator de rețea specializat atât împotriva amenințărilor neintenționate, cât și a celor deliberate O atenție deosebită trebuie acordată protecției procedurilor și instalațiilor asociate cu depozitarea și manipularea cheilor O modalitate mai fiabilă este de a gestiona cheile atunci când acestea sunt necunoscute nici administratorului, fie abonaților Cheia este generată de un generator de numere aleatoare și înregistrată într-un dispozitiv de stocare asociativ special; toate acțiunile cu acesta sunt efectuate într-un spațiu închis, în care operatorul COP nu poate ajunge pentru a se familiariza cu conținutul memoriei Cheile necesare sunt selectate dintr-o memorie specială pentru trimitere sau verificare în conformitate cu identificatorul abonatului sau administratorului La distribuirea cheilor în afara RCN, acestea pot fi înregistrate, de exemplu, pe carduri inteligente Citirea cheii de pe astfel de carduri este posibilă numai cu un rezultat pozitiv de autentificare a CS și a proprietarului cheii În subsistemul de control, transmiterea mesajelor se realizează după anumite reguli, care se numesc protocoale În prezent, în rețelele de calcul distribuite sunt implementate două standarde internaționale pentru interacțiunea elementelor de rețea la distanță: protocolul TCP/IP și protocolul X Protocolul TCP/IP a fost dezvoltat în anii și de atunci a câștigat recunoașterea mondială Rețeaua de internet a fost construită pe baza protocolului TCP/IP Protocolul X a fost o dezvoltare ulterioară a tehnologiei de transmisie a datelor bazată pe comutarea de pachete Protocolul X se bazează pe modelul OSI (Open Network Interoperability) al Organizației Internaționale pentru Standardizare (ISO) În modele se disting următoarele niveluri de funcții: • OSI - aplicat, reprezentativ, sesiune, transport, rețea, canal, fizic; • TCP/IP: aplicat, transport, rețea, canal, fizic Protocolul X permite o interacțiune mai fiabilă între procesele de la distanță Avantajele protocolului TCP/IP sunt costul relativ scăzut și ușurința de conectare la rețea Sarcinile de asigurare a securității informațiilor în rețea sunt rezolvate la toate nivelurile Executarea protocoalelor este organizată folosind subsistemul de control Alături de altele, la nivelul subsistemului de control se rezolvă următoarele probleme de protecție a proceselor de prelucrare a informațiilor în DCS: • Crearea unui singur centru de control al rețelei, care ar aborda și problemele de securitate a informațiilor Administratorul și biroul său implementează o politică de securitate unificată în întreaga rețea securizată; • înregistrarea tuturor obiectelor din rețea și asigurarea protecției acestora Emiterea identificatorilor și înregistrarea tuturor utilizatorilor rețelei; • gestionarea accesului la resursele rețelei; • generarea și distribuirea cheilor de criptare către abonații rețelei de calculatoare; • monitorizarea traficului (fluxul de mesaje în rețea), controlul respectării regulilor de lucru de către abonați, răspuns prompt la încălcări; • organizarea refacerii elementelor de retea in cazul intreruperii procesului de functionare a acestora Cea mai fiabilă și universală metodă de protejare a proceselor de prelucrare a informațiilor în canalele de comunicare este criptarea Criptarea la nivel de abonat vă permite să protejați informațiile de afaceri de pierderea confidențialității și impunerea de informații false și, prin urmare, blocați posibilele amenințări de securitate Criptarea liniei permite, în plus, protejarea informațiilor de serviciu Fără acces la informațiile de serviciu, un atacator nu poate remedia transmiterea între anumiți abonați ai rețelei, nu poate schimba partea de adresă a mesajului pentru a-l redirecționa Contracararea conexiunilor false ale abonaților (proceselor) este asigurată prin utilizarea unui număr de proceduri de confirmare reciprocă a autenticității abonaților sau a proceselor Împotriva ștergerii, denaturării explicite, reordonării, transmiterii mesajelor duplicate, se folosește mecanismul de confirmare, numerotarea mesajelor sau utilizarea informațiilor despre momentul în care a fost trimis mesajul Datele acestor servicii trebuie să fie criptate Pentru unele RCN, informațiile importante despre funcționarea sistemului care trebuie protejat sunt intensitatea traficului pe subrețeaua de comunicații Intensitatea schimbului poate fi ascunsă prin adăugarea de mesaje speciale la traficul de lucru niami Astfel de mesaje pot conține informații arbitrare aleatorii Un efect suplimentar al acestei organizări a schimbului este testarea subrețelei de comunicații Traficul total, ținând cont de mesajele de lucru și speciale, se menține aproximativ la același nivel În cazul încercărilor de blocare a subsistemului de comunicații prin transmiterea intensivă a mesajelor de către un atacator sau distribuirea de programe rău intenționate, cum ar fi un vierme, ar trebui create mecanisme distribuite în subsistemul de control al RCN pentru a controla intensitatea schimbului și a bloca accesul la rețeaua de abonați atunci când și-au epuizat limita de activitate sau în cazul unei creșteri amenințătoare a traficului Pentru a bloca amenințările de impact fizic asupra canalelor de comunicare (încălcarea liniilor de comunicație sau interferența în canalele radio), este necesar să existe canale duplicat cu posibilitatea trecerii automate la utilizarea lor În practică, CS-urile corporative, distribuite și concentrate, adesea închise, sunt conectate la rețele publice precum Internetul Modurile de interacțiune între utilizatorii unui DCS închis cu un sistem public pot fi diferite: • cu ajutorul unui CS public, segmente închise ale sistemului corporativ sau abonații la distanță sunt conectate într-un singur sistem; • utilizatorii RCN închis interacționează cu abonații rețelei publice În primul mod, sarcina de autentificare a abonaților (proceselor) care interacționează este rezolvată mult mai eficient decât în al doilea mod Acest lucru se datorează posibilității de a utiliza criptarea abonatului atunci când interacționați cu CS-ul unei rețele corporative Dacă abonații rețelei publice nu folosesc criptarea abonaților, atunci este practic imposibil să se asigure o autentificare fiabilă a procesului, confidențialitatea informațiilor, protecția împotriva înlocuirii și modificării neautorizate a mesajelor Pentru a bloca amenințările venite dintr-un sistem public, se folosește un software special sau un instrument hardware-software, care se numește "firewall" (Firewall) De regulă, un firewall este implementat pe un computer dedicat, prin care un DCS securizat (fragmentul său) este conectat la o rețea publică Firewall-ul implementează controlul asupra informațiilor care intră în DCS securizat și (sau) părăsesc sistemul securizat Firewall-ul îndeplinește patru funcții: • filtrarea datelor; • utilizarea agenților de protecție; • traducerea adresei; • înregistrarea evenimentelor Funcția principală a unui firewall este de a filtra traficul (intrare sau ieșire) În funcție de gradul de securitate al rețelei corporative, pot fi setate diferite reguli de filtrare Regulile de filtrare sunt stabilite prin selectarea unei secvențe de filtre care permit sau interzice transmiterea datelor (pachetelor) către următorul filtru sau strat de protocol Firewall-ul efectuează filtrarea la nivel de canal, rețea, transport și aplicație Cu cât ecranul acoperă mai multe niveluri, cu atât este mai perfect Firewall-urile concepute pentru a proteja informațiile de un grad ridicat de importanță ar trebui să ofere filtrare: • după adresele expeditorului și destinatarului (sau prin alte atribute echivalente); • pachete de protocoale de servicii utilizate pentru diagnosticarea și controlul funcționării dispozitivelor din rețea; • luarea în considerare a interfeței de rețea de intrare și ieșire ca mijloc de autentificare a adreselor de rețea; • luarea în considerare a oricăror domenii semnificative ale pachetelor de rețea; • la nivel de transport al cererilor la stabilirea conexiunilor virtuale; • la nivel de aplicație a solicitărilor către serviciile de aplicație; • luarea în considerare a datei și orei; • dacă este posibilă ascunderea subiectelor de acces ale rețelei informatice protejate; • dacă este posibilă traducerea adresei Firewall-ul folosește utilizarea agenților de screening (servere proxy), care sunt programe intermediare și asigură stabilirea unei conexiuni între subiect și obiectul accesului, iar apoi trimite informații, exercitând controlul și înregistrarea O funcție suplimentară a agentului de ecranare este de a ascunde obiectul adevărat de subiectul de acces Acțiunile agentului de protecție sunt transparente pentru participanții la interacțiune Funcția de traducere a adreselor firewall-ului este concepută pentru a ascunde adresele interne adevărate de abonații externi Acest lucru vă permite să ascundeți topologia rețelei și să utilizați mai multe adrese dacă nu sunt suficiente alocate pentru o rețea sigură Firewall-ul înregistrează evenimente în jurnale speciale Este posibil să configurați ecranul pentru înregistrare cu caracterul complet necesar pentru o anumită aplicație Analiza înregistrărilor vă permite să înregistrați încercările de a încălca regulile stabilite pentru schimbul de informații în rețea și să identificați atacatorul Ecranul nu este simetric El distinge între "afară" și "înăuntru" Ecranul oferă protecție zonei interioare împotriva unui mediu extern necontrolat și potențial ostil În același timp, ecranul vă permite să restricționați accesul la obiectele rețelei publice din partea subiecților rețelei protejate În caz de încălcare a autorității, munca subiectului de acces este blocată și toate informațiile necesare sunt scrise în jurnal Firewall-urile pot fi utilizate și în rețelele corporative securizate Dacă există fragmente de rețea în DCS cu diferite grade de confidențialitate a informațiilor, atunci este recomandabil să separați astfel de fragmente cu firewall-uri În acest caz, ecranele sunt numite interne În funcție de gradul de confidențialitate și de importanța informațiilor, au fost stabilite cinci clase de securitate firewall Fiecare clasă este caracterizată de un anumit set minim de cerințe de securitate a informațiilor Clasa de securitate cea mai joasă este a cincea, iar cea mai înaltă este prima Un firewall de primă clasă este instalat la procesarea informațiilor etichetate "Importanță specială" Firewall-urile ar trebui implementate sub formă de sisteme specializate Acest lucru ar trebui să crească performanța unor astfel de sisteme (tot schimbul se realizează prin ecran), precum și să crească securitatea informațiilor prin simplificarea structurii Având în vedere importanța firewall-urilor în asigurarea securității informațiilor într-o rețea securizată, acestea sunt supuse unor cerințe ridicate pentru controlul accesului, integritatea informațiilor, recuperabilitatea, testarea etc Oferă administratorul paravanului de protecție Este de dorit să plasați locul de muncă al administratorului direct la firewall, ceea ce simplifică identificarea, autentificarea administratorului și îndeplinirea funcțiilor de administrare Una dintre problemele centrale ale asigurării securității informațiilor într-o rețea de calculatoare este problema confirmării reciproce a autenticității proceselor care interacționează Legătura logică a proceselor care interacționează este definită prin termenul "conexiune" Procedura de autentificare este de obicei efectuată la începutul interacțiunii în procesul de stabilire a conexiunii Procesele de la distanță trebuie să își verifice autenticitatea înainte de a interacționa Autentificarea reciprocă a proceselor care interacționează poate fi efectuată în următoarele moduri: • schimb de identificatori; • procedura "strângere de mână"; • autentificarea la distribuirea cheilor de sesiune Schimbul de identitate este aplicabil dacă rețeaua folosește criptare simetrică Un mesaj criptat care conține un identificator indică în mod unic că mesajul a fost creat de un utilizator care cunoaște cheia secretă de criptare și identificatorul personal Există o singură modalitate prin care un atacator încearcă să intre în interacțiune cu procesul dorit - stocarea mesajului interceptat cu emiterea ulterioară către canalul de comunicare Blocarea unei astfel de amenințări se realizează prin specificarea orei de trimitere a mesajului în mesaj Când verificați un mesaj, este suficient să vizualizați jurnalul de sesiune în CS-ul destinatarului mesajului În loc de timp, poate fi folosit un număr aleatoriu, care este generat înainte de fiecare trimitere Există două opțiuni pentru efectuarea procedurii de "strângere de mână": schimbul de întrebări și răspunsuri; folosind o funcţie f cunoscută numai de procesoarele care stabilesc interacţiunea Procesatorii fac schimb de întrebări, ale căror răspunsuri nu ar trebui să fie cunoscute celor din afară Întrebările se pot referi, de exemplu, la datele biografice ale subiecților în interesul cărora sunt inițiați procesatorii Autentificarea distribuției cheilor de sesiune este una dintre procedurile de gestionare a cheilor Aceste proceduri includ: generarea, distribuirea, stocarea și schimbarea cheilor De obicei, se disting două categorii de chei: chei de criptare a datelor și chei de criptare a cheilor în timpul transmiterii acestora pe canalele de comunicare și stocare Utilizarea repetată a aceleiași chei crește vulnerabilitatea acesteia, astfel încât cheile de criptare a datelor trebuie schimbate în mod regulat De regulă, cheile de criptare a datelor se modifică în fiecare sesiune și, prin urmare, sunt numite chei de sesiune În timpul procesului de generare, cheile trebuie obținute aleatoriu Această cerință este îndeplinită cel mai bine de un generator de secvențe pseudo-aleatoare care utilizează citirile temporizatorului ca date de intrare Cheile secrete sunt stocate în dispozitivul de stocare numai în formă criptată Cheia cheilor criptate poate fi criptată cu o altă cheie Ultima cheie este stocată în clar, dar într-o memorie specială Nu poate fi citit, vizualizat, modificat sau distrus în timpul funcționării normale Această cheie se numește cheie principală sau principală Cheile principale pentru criptarea simetrică și cheile secrete pentru criptarea asimetrică sunt distribuite în afara RCN Cu un număr mare de abonați și eliminarea acestora la distanțe considerabile unul de celălalt, sarcina de a distribui cheile principale este destul de dificilă Cu criptarea asimetrică, numărul de chei secrete este egal cu numărul de abonați la rețea În plus, utilizarea criptării asimetrice nu necesită distribuirea cheilor de sesiune, ceea ce reduce schimbul de informații de serviciu în rețea Listele de chei publice ale tuturor abonaților pot fi păstrate de fiecare abonat al rețelei Cu toate acestea, criptarea simetrică are două avantaje semnificative În primul rând, criptarea simetrică, cum ar fi algoritmul DES, durează mult mai puțin în comparație cu algoritmii de criptare asimetrică În al doilea rând, în sistemele cu criptare simetrică, este mai ușor să se asigure autentificarea reciprocă a abonaților (procese) Cunoașterea unei chei secrete partajată de două procese care interacționează, suplimentată de mecanisme de protecție împotriva retransmisiei, este baza pentru a considera procesele care interacționează ca fiind autentice Distribuția cheilor în rețea între utilizatori este implementată în două moduri: ) prin crearea unuia sau mai multor centre de distribuție cheie; ) schimbul direct de chei de sesiune între abonații rețelei Dezavantajul primei metode este disponibilitatea accesului la CRC la toate informațiile transmise prin rețea În cazul organizării unui schimb direct de chei de sesiune, există dificultăți în autentificarea proceselor sau a abonaților Distribuția cheilor este combinată cu procedura de autentificare a proceselor cooperante Protocoalele de distribuție a cheilor pentru sistemele cu chei simetrice și asimetrice sunt diferite Metode și mijloace de protejare a proceselor de prelucrare a informațiilor în segmentele locale și externe ale CS Luați în considerare modele de medii de rețea într-un CS distribuit Aspectul extern al securității proceselor de prelucrare a informațiilor în segmentul local al CS este analizat sub influența rău intenționată a subiecților mediului extern (de exemplu, Internetul), adică sub influența rău intenționată externă Trebuie avut în vedere că în majoritatea covârșitoare a cazurilor, segmentul CS local este implementat tehnic pe unul sau mai multe segmente LAN conectate și utilizează software standardizat comun în ceea ce privește comunicarea Mediul (mediile) de operare al întregului LAN este, de asemenea, standard Pe baza acestor prevederi, vom clarifica prevederile modelului de influență asupra COP din exterior astfel Într-un singur spațiu Dintre obiectele segmentului CN local luat în considerare (care, de regulă, corespunde rețelei corporative a organizației), funcționează unul sau mai multe subiecte (module de programe de telecomunicații) cu posibilitatea de control extern Controlul extern este implementat de capacitățile programului de telecomunicații pentru transmiterea bidirecțională a datelor prin comenzi provenite de la un subiect aparținând segmentului extern al CS În acest caz, comenzile înseamnă un flux de la obiectele asociate ale unei entități externe către obiectele asociate ale unei entități locale de telecomunicații, iar aceste obiecte asociate, modificate sub influența unui flux de la o entitate externă, afectează semnificativ starea curentă a entității locale În același timp, modulele software de telecomunicații situate în segmentul local au acces la obiectele acestui segment, ca și alte entități locale Diferența acestei abordări constă în faptul că, de fapt, o parte din subiecții locali este controlată de un utilizator legal, iar o parte este controlată de un utilizator anonim la distanță care urmărește potențial scopuri rău intenționate Să evidențiem impactul pasiv provenit de la subiecții rețelei externe (citirea și transportul obiectelor segmentului local către rețeaua externă) și impactul activ (modificarea obiectelor locale) Impactul pasiv este asociat cu o încălcare a confidențialității informațiilor corporative (compromis), activ - cu o încălcare a integrității În setul de obiecte, este posibil să se evidențieze obiectele care sunt mai valoroase pentru un atacator și sunt legate de asigurarea securității locale (de exemplu, pentru sistemele UNIX, fișierul de autentificare a utilizatorului etc\passwd) Influența activă se poate manifesta indirect, adică modulele software primite de la o rețea externă pot conține acțiuni software distructive (RPI) sau acțiuni rău intenționate special integrate Separat, evidențiem distribuția RPV în datele interpretate (impact activ) Esența influenței rău intenționate constă în integrarea în obiectul interpretat (procesat de editorii de tip Word) a operațiunilor care vizează replicarea (distribuirea) RPV sau distrugerea datelor locale Totuși, putem considera și generarea subiectului în cadrul segmentului local al CS, dar inițiat de un subiect extern și de la un obiect sursă transferat din exterior Software-tehnic, acestea sunt mecanisme de lansare la distanță (REXEC) sau apeluri de procedură la distanță (RPC - Remote Procedura Caii) Atunci când se proiectează mecanisme de protecție pentru un segment local de CS, pare posibil să se deplaseze în două direcții practic independente: să se utilizeze mecanisme locale de protecție (eventual ajustate într-un fel în raport cu specificul descris al amenințării) și să sintetizeze mecanisme specializate pentru a proteja în principal împotriva amenințărilor externe Este această abordare care se propune a fi urmată, evidențiind metodele de proiectare a mecanismelor locale de protecție rezistente la influențele exterioare, precum și abordarea protecției rețelei axată pe lucrul cu un flux integral de informații dintr-o rețea externă (un segment extern al CN) ) Abordarea protecției generale a segmentului local se caracterizează prin transferul responsabilității pentru protecție în segmentul local al CS la nivelul de interacțiune cu rețea și este implementată prin tehnologia firewall (firewall) Firewall este abordarea principală oferită în sistemele străine conectate la Internet În acest caz, este analizat fluxul de informații de la nivelul rețelei (Network), care are informații unice care caracterizează expeditorul și destinatarul pachetului (adresa) Munca firewall-ului se reduce la analiza secvenței pachetelor (filtrare) în funcție de unele criterii specificate a priori (în același timp, este necesar să se acorde atenție necesității de filtrare bidirecțională - pentru pachetele de intrare și de ieșire) Aceste probleme au fost discutate mai detaliat anterior Soluțiile tehnice descrise ale firewall-urilor sunt practic de neînțeles din punct de vedere al caracteristicilor de fiabilitate ale protecției, adică nu se pot trage nici concluzii deterministe, nici probabiliste despre calitatea filtrului În acest sens, în continuare, sunt introduse o serie de definiții clarificatoare care descriu procesul de filtrare ținând cont de nivelul logic al reprezentării obiectului și sunt dovedite o serie de afirmații privind garanțiile funcționării ecranului în cadrul conceptelor introduse Există două abordări principale ale procedurii de filtrare: filtrarea pachetelor sau traducerea adresei (partea de adrese a pachetelor este analizată și (sau) convertită); filtre la nivel de aplicație (FPU) (în literatura străină - serviciu proxy sau proxy de aplicație) FPU analizează conținutul pachetelor pe baza caracteristicilor de funcționare a aplicațiilor (aplicațiilor) de telecomunicații care generează un flux de pachete (de obicei, FPU-ul este concentrat pe aplicații comune precum FTP sau Telnet) Pentru un anumit program, este fundamental posibil să se determine, prin succesiunea de pachete, la ce obiect se referă această sau acea aplicație (subiect) Totuși, în cazul general, problema stabilirii faptului accesului la un obiect de nivel înalt pe baza informațiilor dintr-o ierarhie de nivel inferior pentru a unui subiect generator de flux arbitrar este practic indecidabil Totodată, FPU, fiind o metodă mai fiabilă din punct de vedere al fiabilității de filtrare, pierde totuși din compatibilitatea cu aplicațiile (în sensul neasigurării funcționării corecte a tuturor tipurilor de entități de telecomunicații utilizate în CS) Se propune să se ia în considerare o situație în care echipamentul de protecție a fost deja instalat la locurile de muncă ale unui LAN corporativ Execuția general acceptată a mijloacelor de protecție software și hardware implică implementarea unei politici de securitate cu o proiecție completă a drepturilor utilizatorului asupra drepturilor oricărui subiect al segmentului local (adică, dacă utilizatorului i se permite să ruleze orice program ( subiectul a fost activat), atunci procesul generat accesează obiecte cu drepturi ale utilizatorului inițiator) Trebuie avut în vedere faptul că politica de securitate atunci când se utilizează mecanisme locale de protecție necesită o anumită corecție constructivă Să dăm definiții ale segmentelor locale și externe ale CS Definiție Segmentul local (LS) al CS este un subset de subiecte și obiecte ale CS, alocate conform unuia dintre următoarele criterii: • criteriul de grupare a tuturor subiecților într-un singur set cu posibilitatea controlului direct al subiecților (dacă o astfel de posibilitate este prezentă în subiect); • criteriul de localizare a unui anumit subset de obiecte și subiecte în cadrul unei anumite componente tehnice a CS; • un criteriu de atribuire obiectelor și subiecților din LS CS a unor informații care caracterizează în mod unic subiectul sau obiectul (care, de regulă, se numește adresa sau adresa de rețea a LS CS) Definiție Segmentul extern al CS este adăugarea setului de subiecte și obiecte ale segmentului local la întregul set de obiecte al CS Evident, mai multe segmente locale pot fi alocate în segmentul exterior Vom presupune că este considerat un LS alocat arbitrar al CS Controlul direct (considerat ca unul dintre criteriile de selectare a LS CS) presupune posibilitatea de a schimba starea subiectului direct prin comenzile unui anumit computer În practică, de regulă, un segment local include un computer sau un segment LAN Un subiect îndepărtat este un subiect care aparține setului de subiecți din segmentul exterior al CS Evident, seturile de subiecte ale segmentelor locale și externe ale CS nu se intersectează Accesul unui subiect îndepărtat la un obiect local implică organizarea unui flux complex de la subiectul îndepărtat la obiectele asociate subiectului local, adică de fapt, controlul subiectului local de către subiectul aflat la distanță Scopul unui atacator de la distanță (un utilizator care controlează un subiect de la distanță) este de a organiza fluxuri de la obiecte locale care nu aparțin setului L Dacă CS este împărțit în segmente locale și externe, setul tuturor fluxurilor poate fi împărțit "semantic" în patru scheme (fluxul dintre subiect și obiect înseamnă fluxul dintre obiectele asociate subiectului și obiectului): ) fluxuri între subiecte locale și obiecte locale; ) fluxuri între subiecte locale și obiecte îndepărtate; ) fluxuri între subiecte îndepărtate și obiecte locale; ) curge între subiecte îndepărtate și obiecte îndepărtate A patra schemă descrie interacțiunea subiecților oricărui segment local, diferit de cel selectat, fie cu obiecte locale (prima schemă), fie la distanță față de acest segment (a doua schemă) A treia schemă descrie interacțiunea dintre obiectele asociate ale subiecților segmentului local și subiecții îndepărtați A doua schemă descrie, de asemenea, fluxuri care pot fi realizate numai prin obiectele asociate ale subiecților îndepărtați Prima schemă a fost studiată în detaliu anterior A doua și a treia schemă au sens identic, deoarece alegerea segmentului local al CS este arbitrară Deci, vom lua în considerare fluxurile dintre subiecții externi și obiectele locale, ținând cont de observația despre participarea obligatorie a unui subiect local la flux În ceea ce privește fluxurile, luați în considerare interacțiunea inter-subiect dintre o entitate X la distanță și o entitate locală ) Scopul acestei interacțiuni este de a implementa un flux între obiectul local Oj și obiectul asociat Ox al subiectului X, iar acest flux trece prin obiectele asociate subiectului local ) Apropo de fire, nu ar trebui să omiteți proprietatea potențial posibilă de a genera de către subiectul S, un nou subiect S * : Create (S " Оѵ) -> Generarea unui subiect dat poate proveni dintr-un obiect sursă: • segmentul local al CS; • segmentul extern al CS În cele mai multe cazuri, este luat în considerare un model simplificat de funcționare a unui CS distribuit geografic, care constă din două computere Există două computere conectate printr-un canal de comunicare Calculatoarele luate în considerare sunt echipate cu software de telecomunicații (TSS), care asigură funcționarea în comun a programelor aplicative și a echipamentelor de transmisie a datelor (modemuri) pentru schimbul de informații pe un canal de comunicație Informațiile transmise și primite sunt prezentate în diferite părți ale CS la diferite niveluri (fișiere, părți de fișiere, pachete) Software-ul de telecomunicații al ambelor calculatoare are capacitatea de a citi/scrie pe medii externe de acces direct, controlate de mesaje din canalul de comunicație (în caz contrar, este imposibilă stocarea informațiilor primite) Înregistrarea are loc cu participarea software-ului propriu-zis de telecomunicații sau a programului de aplicație al stației de recepție În plus, există întotdeauna posibilitatea de a scrie în memoria RAM a computerului receptor (buffering) Buffering-ul poate fi supus comenzilor de control venite de la computerul care transmite sau datelor transmise Considerăm că un atacator este o persoană care are acces la un canal de comunicare și are un set de software și hardware identic cu cel al computerului care transmite Astfel, munca unui intrus poate fi reprezentată ca munca fie a unui computer de transmisie, fie de recepție, care trimite (sau primește) informații de control și conținut către computerul de recepție De obicei, se spune că o anumită entitate software rulează pe un computer atacat de un atacator, care este denumit în mod tradițional o entitate de telecomunicații De regulă, o entitate modernă de telecomunicații are un serviciu dezvoltat și funcționează cu informații la nivel de fișier OS (de exemplu, produse software FTP) Acțiunile rău intenționate în acest caz pot fi de două tipuri principale: • impact pasiv asociat cu citirea datelor de pe computerul atacat și transportarea acestora către computerul atacatorului (impactul a fost inițiat de la computerul activ); • influența activă asociată cu impunerea datelor (fișiere noi) și modificarea celor existente Să generalizăm acest model și să-l formulăm în limbajul fluxurilor Să notăm fluxurile de la obiectul asociat Ox al subiectului X la obiectul asociat Ox al subiectului S, și invers, Stream(y, Ox) -e Ox și Stream(X Ox) Ox De asemenea, presupunem că proprietățile subiectului S sunt astfel încât existența fluxurilor de forma Strean ^ S), O,) Ok și Strean ^ S), Ok) -\u e Ok) este posibilă Prin proprietatea de tranzitivitate a fluxurilor are loc un acces al subiectului X la obiectul Oj prin subiectul S, În segmentul local al CS, există și două situații principale asociate cu posibilitatea susmenționată de a genera un nou subiect: ) accesul la obiectul Oj din partea subiectului S) sub acţiunea de control a subiectului X; ) generarea de către subiectul S, din obiectul local al unui nou subiect S,*, pentru care există un flux Stream(X, ,*) Nu există diferențe semnificative în ceea ce privește accesul subiectului X la obiectul local între situațiile de activitate ale subiectului , sau St* - în ambele cazuri există un flux complex care include obiectele asociate subiectului local ( S/ sau, respectiv, j*) Diferența dintre situațiile descrise este în domeniul interacțiunii corecte între subiecte în cadrul LS CS, adică din moment ce procesul de activare poate fi inițiat de subiectul X, subiectul nou generat, pe lângă implementarea fluxurilor către un subiect extern, poate implementa, de asemenea, fluxuri către obiectele asociate ale subiecților LS CS, de exemplu, către MBS și MBO În acest caz, condiția principală a corectitudinii perechilor subiecților este încălcată Vom presupune că în LS CS pot exista doar subiecți corecti pe perechi închise în IRS (adică există un MBS în LS CS), cu control asupra integrității subiecților generați În plus, în setul de subiecte ale LS CS, există un MBO care implementează o anumită strategie de securitate Să luăm în considerare strategia de securitate general acceptată în prezent în contextul interacțiunii formulate a segmentelor locale și externe ale CS Să remarcăm preliminar că în condițiile formulate (generarea ISI) pentru LS CS alocat în cazul absenței sau inactivității SST), se garantează implementarea oricărei strategii de securitate specificate în MBO Să presupunem că pentru LS CS alocat arbitrar de noi, există m utilizatori: , Pn, , Pm Să introducem conceptul de drepturi de acces ale subiecților la obiecte ca posibilități de implementare a fluxurilor Stream(S"" From) -> Оѵ (De la obiectul asociat Sm) - drept de acces de tip W (Write - write) și streams Stream(S "" Оѵ) De la - dreptul de acces R (Citire - citire) Prin urmare, dacă subiectul are dreptul de acces R la obiectul OV, atunci aceasta este echivalentă cu posibilitatea existenței fluxului Stream(Sn,, OV) -> From Având în vedere unele proprietăți ale fluxului Stream(S"" From) -> O, sau Byteat(Sm, O) -> O"", putem vorbi despre un set finit de drepturi G = {gl, , gl} În cazul în cauză, cardinalitatea mulțimii G este egală cu Definiție Setul de subiecte Sn disponibil utilizatorului Rn este setul de subiecte pe care acest utilizator Expeditorul se poate activa în IS dintr-un set arbitrar de obiecte sursă Definiție Mulțimea obiectelor Ln(T) accesibile utilizatorului Pn în raport cu dreptul de acces T este submulțimea tuturor obiectelor față de care se realizează fluxurile dreptului de acces corespunzător atunci când toți subiecții incluși în Sn și având dreptul de acces T sunt activate Luați în considerare strategia tradițională de securitate asociată noțiunii de acces utilizator (nu subiect!) la un obiect Această politică stabilește £n( ) pentru orice subset al setului de subiecte Sn (dacă subiectul este potențial capabil să implementeze un flux corespunzător dreptului de acces T) și în timpul perioadei de lucru a utilizatorului Pn, orice subiect din Sn oferă acces oricărui obiect să execute fluxuri de drept T , aparținând £"( ) Pentru setul de drepturi introdus, aceasta înseamnă că orice flux ( k) este permis dacă S ar trebui bn( y) În practică, aceasta înseamnă că într-un sistem de securitate conceput ținând cont de o astfel de strategie de securitate, drepturile utilizatorilor sunt determinate de programele de control în raport cu utilizatorii, și nu de programele (subiecții) care le aparțin Definiție O politică de securitate cu o proiecție completă a drepturilor utilizatorului sau o metodă de acces cu o proiecție completă a drepturilor utilizatorului Pn pe obiectele CS este o astfel de ordine de compilare a unui DRP în care oricare dintre subiecții aparținând lui Sn are același drept de acces la orice set de obiecte Ln(T) Să formulăm o declarație care descrie fluxurile în LS CS în prezența unei entități de telecomunicații S, Declarația (pe un CS distribuit cu proiecția completă a drepturilor de utilizator asupra subiecților) În condițiile strategiei de securitate cu proiecția completă a drepturilor de utilizator Pp asupra obiectelor locale ale CS, subiectul X are acces la orice obiect din setul £n( ) cu condiția ca fluxurile Stream (X, Ok) -> Ox și Stream(X Ox) -> Disponibilitatea ki a subiectului , pentru utilizatorul Є Dovada Permiteți utilizatorului să aibă dreptul de acces R la obiectul Ok În condițiile proiecției depline a drepturilor oricărui subiect, aceasta înseamnă că pentru orice subiect Sm din Sn (disponibil utilizatorului), este posibil fluxul Stream (Sm, O]) -> From, unde m este obiectul asociat Sm Prin condiția aserției care se dovedește, S, este inclus în Sn, deci există Stream( n Oy) -> Ok După condiția afirmației, există și un flux Stream(yV, Ok) Ox Prin proprietatea tranzitivității fluxurilor, există Stream(X Oj) -> Ox Aceasta înseamnă că subiectul X are și dreptul de acces R la obiectul Oj Deoarece Oj este ales arbitrar din mulţimea L"(R), care care este descris de fluxul Stream( m, ,) -> n" atunci afirmația este adevărată pentru toate obiectele bn{T) Afirmația este dovedită în mod similar dacă utilizatorul are dreptul de acces RIk la obiectul O, Afirmația a fost dovedită Din această declarație rezultă că sistemul de protecție împotriva UA al oricărui LS CS în care o strategie de securitate este garantată cu proiecția completă a drepturilor de acces ale utilizatorilor (sistemele cu o astfel de politică de securitate includ marea majoritate a sistemelor software și hardware pentru protejarea resurselor locale) , precum și aproape toate instrumentele standard de protecție din sistemul de operare) este potențial nesigură (adică, permițând posibilitatea unor acțiuni rău intenționate) atunci când sunt conectate la rețele externe (adică, atunci când se adaugă un set de subiecți cu o entitate de telecomunicații pentru a interacționa cu segmentul extern a CS) Este necesar să se corecteze metodele de compilare a DRP în sistemele în care este posibilă influența unui intrus extern Să formulăm o strategie de securitate constructivă care să excludă situațiile descrise mai devreme Definiție Metoda de împărțire a drepturilor utilizatorului în raport cu setul de subiecte aflate la dispoziție este o astfel de ordine de întocmire a DRP, în care drepturile de acces ale utilizatorului Pn sunt stabilite separat pentru fiecare subiect (sau subset de subiecte) accesibil pentru utilizatorul, apartinand multimii Sn Metoda de împărțire a drepturilor include metoda de proiecție a drepturilor de acces (când oricărui subiect i se acordă drepturi de acces egale la obiecte) Să formulăm o declarație care descrie condițiile pentru protejarea obiectelor locale de un intrus extern Afirmația (despre accesul într-un sistem cu drepturi de proiecție) În condițiile împărțirii drepturilor, subiectul X va obține același acces la obiectul Oj ca și subiectul S, cu condiția ca fluxurile Stream(X, Ox) Ok și Stream(X Ok) -> Ox să existe și să nu existe alte subiecții din CS LAN pentru care există fluxuri între obiectele asociate lor și Ox Dovada Deoarece nu există alte subiecte asociate cu subiectul extern X în LS CS, fluxurile către obiectul Oj sunt posibile numai prin obiectul asociat Ok al subiectului Întrucât numai debitul corespunzător dreptului de acces S este posibil între k și Oj, atunci doar același flux este posibil între Ox și Oj Afirmația a fost dovedită Consecinţă În condițiile divizării drepturilor, subiectul X nu va avea acces la obiectul O} dacă subiectul S nu are acces la Oj și nu există un alt subiect Sr în segmentul local al CS pentru care există fluxuri între obiecte asociate acestui subiect și Ox Afirmațiile dovedite fac posibilă formarea unei metodologii de proiectare a protecției LS CS sub condiția corectitudinii pe perechi a tuturor subiectelor (inclusiv telecomunicațiile) și implementarea garantată a strategiei de securitate Tehnica de proiectare a protecției este descrisă printr-o succesiune de pași Se formulează o strategie de securitate cu împărțirea drepturilor utilizatorilor (este posibil să se evidențieze două seturi de subiecte - pur local și telecomunicații - și să se stabilească drepturi separate pentru aceste grupuri) Pentru fiecare subiect sau grupuri de subiecte se formează un set de drepturi de acces la anumite obiecte (sau grupuri de obiecte) Este implementat un MBO care implementează strategia de securitate specificată Subiecții LS CS sunt închise în IS cu control asupra integrității obiectelor sursă Să formulăm una dintre posibilele strategii de securitate legate de gruparea obiectelor Să presupunem că obiectele sunt împărțite în trei subseturi: O, - accesibil numai utilizatorilor LS CS (în raport cu ^, toți utilizatorii au acces R și W), O - un set de obiecte accesibile utilizatorilor externi cu dreptul de acces R (de exemplu, obiecte precum anunțuri electronice); O - un set de obiecte accesibile utilizatorilor externi cu dreptul W (de exemplu, cutii poștale pentru scrisorile primite) Subiecții se împart și în două grupe: ] - subiecți locali; S - entitati de telecomunicatii Apoi regulile pentru controlul accesului în LAN CS sunt formulate conform Tabelului O politică de securitate arbitrară care separă actorii locali și cei din telecomunicații atunci când accesează obiecte va asigura că utilizatorii interni și externi sunt, de asemenea, separați Luați în considerare posibilitatea compromiterii deliberate a informațiilor de către utilizator însuși Această posibilitate este realizată prin inițierea fluxului de flux (S " O ) -\u e Ox din partea de control Tabelul Reguli de grup pentru controlul accesului în CS LAN O oh RW Yai' RW S -RW Tabelul Reguli pentru restricționarea accesului atunci când transportul este interzis în afara obiectelor selectate Otr Op •S, RW RW - R W fiind o entitate de telecomunicații , un utilizator cu intenție rău intenționată Să notăm setul de obiecte critice care trebuie trimise în rețeaua externă ca Okg La separarea drepturilor între subiecții locali și de telecomunicații, este posibil să se stabilească astfel de DRP-uri, atunci când sunt implementate în MBO, este posibil să se asigure funcționarea cu drepturi depline a subiecților locali cu obiecte din setul Ox, dar imposibilitatea transportului de obiecte k către rețeaua externă Să desemnăm setul de obiecte locale care nu sunt critice pentru transport și modificare ca op Apoi DRP-urile raportate la grupele introduse de subiecți ] și S sunt date de rapoartele prezentate în tabel Acum să ne întoarcem la o situație în care este posibil să se genereze un subiect S* care încalcă corectitudinea interacțiunii intersubiective Sunt posibile două cazuri: ) obiectul sursă Or pentru generarea ,* este extern (neasociat) pentru subiectul activator ,; ) obiectul sursă Оѵ este asociat pentru subiectul Sj (în acest caz, obiectul sursă asociat poate fi neschimbat sau depinde de informațiile transmise de subiectul X) În primul caz, când MBS acționează cu controlul integrității obiectului sursă, generarea unui nou subiect este posibilă cu o probabilitate care nu depășește probabilitatea de a accepta un obiect sursă neidentic ca identic cu cel de referință (acest parametru este complet determinată de proprietățile funcției de control al integrității) Să luăm în considerare cel de-al doilea caz, acordând atenție problemelor practice de influență asupra obiectelor asociate altor subiecte sau celui dat În mod evident, influența activă oferă oportunități ample pentru implementarea atât a DNS directă cât și indirectă Lăsați să aibă loc procesul de scriere în memoria RAM a PC-ului receptor aparținând LS CS În practică, aceasta înseamnă existența unui flux către obiectele asociate subiectului de telecomunicații al LS CS În același timp, activarea unui nou Execuția problemei în computer poate apărea numai atunci când procesorul începe să execute instrucțiuni în zona de memorie a PC-ului Rx unde a fost plasat codul primit Acest lucru se poate întâmpla din trei motive: ) zona de memorie pentru scriere cade pe programul executabil sau pe zona în care se transferă constant controlul (tabel de întreruperi, drivere de sistem de operare etc ); ) înregistrarea are loc într-o zonă care se află în afara zonelor critice pentru funcționarea mediului software, dar are loc incorect (incorectitudinea apare în principal la scrierea unor segmente lungi de date primite în buffer-uri mai mici), din această cauză, un se efectuează "overflow" (încălcarea corectitudinii perechilor) și se efectuează lucrări ulterioare în condiția clauzei ; ) intrarea se încadrează în zona de locație a TPO-ului însuși și în ea se formează un cod, care este utilizat ulterior (de exemplu, gestionarea unei întreruperi în TPO a PRM-ului computerului a indicat inițial comanda Iret , după ce a fost modificat de o porțiune din datele primite, indică o procedură) Un exemplu al celei de-a doua situații este binecunoscutul replicator Morris, care a fost introdus în PRM-ul unui PC folosind erori în tamponarea liniilor primite în UNIX A treia situație a fost întâlnită la o serie de drivere de telecomunicații și a fost folosită în modul normal pentru modificarea funcțiilor TVS pe semnalul computerului de transmisie Toate situațiile descrise înseamnă o încălcare a corectitudinii interacțiunii intersubiective Este evident că toate pot fi excluse dacă sunt îndeplinite condițiile pentru proiectarea IPS pentru software de telecomunicații Acum să luăm în considerare înregistrarea informațiilor primite pe medii externe de acces direct În acest caz, se presupune că în datele transmise există o comandă de "scriere" adresată PC-ului Rx (eventual cu niște parametri care determină locația înregistrării), iar datele care urmează sunt scrise în locația specificată În acest caz, este posibilă înregistrarea la diferite niveluri de reprezentare a obiectelor, de exemplu, înregistrarea sub formă de sectoare și înregistrarea sub formă de fișiere Luați în considerare o înregistrare sub formă de sectoare Sectoarele pot cădea pe fișiere executabile, ulterior RPV va fi activat la lansarea acestor fișiere Cu toate acestea, această metodă este foarte complicată și este "de puțin scop" Un caz mult mai interesant este scrierea în sectoarele de boot În acest caz, atunci când scrieți în sectorul de pornire al hard disk-ului, computerul este afectat de fila de pornire, iar când scrieți în sectorul de boot al dischetei, marcajul se poate răspândi pe alte computere Situația descrisă a apărut și în software-ul de telecomunicații: pt primind date de la canal, un disc virtual a fost organizat în RAM (pentru a accelera procedurile I/O); scrierea pe un disc virtual a fost controlată din canalul de comunicație prin trimiterea "coordonaților" înregistrării (pistă, sector, suprafață de citire) și a datelor de scris Deoarece scrierea a avut loc prin întreruperea int h, era posibil ca un atacator extern să scrie în sectorul de boot câteva informații trimise de el (marcaj de pornire) Introducerea RPV într-o "formă conservată" este interesantă Așadar, pentru a trimite întreaga dischetă printr-un canal de comunicare, se folosesc adesea programe precum TELEDISK Acest program convertește secvența tuturor sectoarelor media externe (HMD) într-un fișier, care este apoi transferat pe canal; la primire, acest fișier este "desfăcut" de un program similar într-o dischetă identică Dacă există un marcaj pe HMD-ul transmis, acesta va fi "păstrat" în fișier, transferat pe PC-ul PRM și, în condiții favorabile, activat deja la capătul de recepție Trimiterea RPV ca fișier executabil este cel mai adesea folosită pentru inserarea de la distanță a marcajelor și, dacă este suficient de trivială, aproape întotdeauna reușește Adesea, utilizatorul este provocat să lanseze un fișier executabil Deci, într-un caz, un set de fișiere a fost transferat către utilizatori, printre care a fost un fișier arhivat (ZIP) Pentru a-l extinde în directorul curent (unde a fost primit setul de fișiere), a fost lansat programul PKUNZIP, la care calea este aproape întotdeauna setată Cu toate acestea, puțini utilizatori au observat că setul de fișiere transferate conținea deja un program cu acest nume Desigur, ea a fost cea care a fost lansată și, pe lângă extinderea arhivei, a fost stabilit un marcaj Atacurile descrise sunt asociate cu formarea unui obiect sursă care conține acțiuni rău intenționate ca parte a obiectelor CS LS Evident, în condițiile acțiunii IS cu controlul integrității obiectelor sursă, activarea subiectului din obiectul sursă care nu este inclus în lista obiectelor sursă pentru mulțimea Sn a LS CS este imposibilă în principiu, iar la înlocuirea unuia dintre obiectele sursă "legale", este posibil cu probabilitatea de a accepta obiectul modificat ca unul de referință Protecția proceselor de prelucrare a informațiilor pe Internet și Intranet Internetul este o rețea globală de calculatoare care acoperă întreaga lume Astăzi are aproximativ milioane de abonați în peste de țări din întreaga lume În fiecare lună, dimensiunea rețelei crește cu % Internetul formează un "nucleu" care asigură comunicarea între diverse rețele formaționale deținute de diverse instituții din întreaga lume Dacă mai devreme rețeaua era folosită exclusiv ca mediu de transfer de fișiere și mesaje e-mail, astăzi se rezolvă probleme mai complexe de acces distribuit la resurse Cu aproximativ de ani în urmă, au fost create shell-uri care suportă funcțiile de căutare în rețea și acces la resursele de informații distribuite, arhivele electronice Internetul, folosit cândva exclusiv de grupurile de cercetare și academice ale căror interese variau de la acces la supercomputere, devine din ce în ce mai popular în lumea afacerilor Companiile sunt atrase de viteza de comunicare, costul scăzut al serviciilor, posibilitatea de a lucra în comun, programele accesibile și o bază de date unică pe Internet Ei văd rețeaua globală ca pe o completare la propriile rețele locale Internetul este format din multe rețele locale și globale aparținând diferitelor companii și întreprinderi, interconectate prin diverse linii de comunicație Internetul poate fi considerat ca un mozaic de rețele mici de diferite dimensiuni care interacționează activ între ele, trimițând fișiere, mesaje și așa mai departe La costuri reduse ale serviciilor (de multe ori doar o taxă lunară fixă pentru liniile sau telefonul utilizat), utilizatorii pot accesa servicii de informații comerciale și necomerciale în SUA, Canada, Australia și multe țări europene În arhivele cu acces gratuit ale acestei rețele, puteți găsi informații despre aproape toate domeniile activității umane, de la noi descoperiri științifice până la prognoza meteo de mâine În plus, Internetul oferă oportunități unice pentru comunicații globale ieftine, fiabile și private în întreaga lume Acest lucru se dovedește a fi foarte convenabil pentru firmele cu filiale din întreaga lume, corporațiile multinaționale și structurile de management De obicei, utilizarea infrastructurii Internet pentru comunicarea internațională este mult mai ieftină decât comunicarea directă cu computerul prin canal prin satelit sau telefon E-mailul este cel mai răspândit serviciu de pe Internet Aproximativ de milioane de oameni au în prezent adresa lor de e-mail Trimiterea unei scrisori prin e-mail este mult mai ieftină decât trimiterea unei scrisori obișnuite În plus, un mesaj trimis prin e-mail va ajunge la destinatar în câteva ore, în timp ce o scrisoare obișnuită poate ajunge la destinatar timp de câteva zile sau chiar săptămâni În prezent, Internetul se confruntă cu o perioadă de redresare, în mare parte datorită sprijinului activ din partea guvernelor țărilor europene și Statelor Unite Aproximativ milioane de dolari sunt alocați anual în SUA pentru realizarea unei noi infrastructuri de rețea Cercetarea în domeniul comunicațiilor în rețea este, de asemenea, finanțată de guvernele Marii Britanii, Suediei, Finlandei și Germaniei Cu toate acestea, finanțarea de la stat reprezintă doar o mică parte din fondurile primite, întrucât comercializarea rețelei devine din ce în ce mai vizibilă ( - % din fonduri provin din sectorul privat) Probleme de protecție a proceselor de prelucrare a informațiilor pe Internet Internetul și securitatea informațiilor sunt incompatibile prin natură Internetul este o rețea pur corporativă, dar în prezent, folosind o singură stivă de protocol TCP/IP și un singur spațiu de adrese, combină nu numai rețele corporative și departamentale (educaționale, guvernamentale, comerciale, militare etc ), care, prin definiție, sunt rețele cu acces limitat, dar și utilizatori obișnuiți care au posibilitatea de a obține acces direct la Internet de pe computerele de acasă folosind modemuri și rețeaua publică de telefonie După cum știți, cu cât este mai ușor să accesați rețeaua, cu atât securitatea informațiilor este mai proastă, prin urmare, pe bună dreptate, putem spune că ușurința inițială de acces la ea este mai proastă decât furtul, deoarece utilizatorul poate nici măcar să nu știe că fișierele iar programele au fost copiate de la el, ca să nu mai vorbim de posibilitatea deteriorării și ajustării acestora Ce determină creșterea explozivă a internetului, caracterizată printr-o dublare anuală a numărului de utilizatori? Răspunsul este simplu - costul scăzut al software-ului (TCP/IP), care este inclus în prezent în WINDOWS , costul scăzut al accesului la Internet (fie folosind o adresă IP, fie folosind un furnizor) și la toate resursele informaționale ale lumii Plata pentru utilizarea Internetului este o reducere generală a BID, prin urmare, pentru a preveni accesul neautorizat la computerele lor, toate rețelele corporative și departamentale, precum și întreprinderile care utilizează tehnologia Internet, pun filtre (fire-wall) între rețeaua internă și Internetul, care înseamnă de fapt o ieșire dintr-un singur spațiu de adrese Și mai sigură este îndepărtarea de protocolul TCP/IP și accesul la Internet prin gateway-uri Această tranziție poate fi efectuată concomitent cu procesul de construire a Rețelei Mondiale de Informare bazată pe utilizarea computerelor din rețea, care, folosind o placă de rețea Base-T și un modem prin cablu, oferă dar acces de mare viteză ( Mbit/s) la Web-cep-ver local printr-o rețea de televiziune prin cablu Pentru a aborda aceste și alte probleme în tranziția la o nouă arhitectură Internet, trebuie să: ) eliminarea conexiunii fizice dintre viitorul Internet (care se va transforma în Worldwide Public Information Network) și rețelele corporative și departamentale, menținând doar comunicarea informațională între acestea prin sistemul World Wide Web; ) înlocuirea routerelor cu comutatoare, eliminând procesarea în nodurile de protocol IP și înlocuirea acesteia cu modul de translație a cadrelor Ethernet, în care procesul de comutare se reduce la o simplă operațiune de comparare a adresei MAC; ) trecerea la un nou spațiu de adresă unic bazat pe adresele fizice de acces la mediul de transmisie (stratul MAC), legat de locația geografică a rețelei și permițând în de biți să creeze adrese pentru mai mult de de trilioane de noduri independente Securitatea datelor este una dintre principalele preocupări pe internet Există din ce în ce mai multe povești înfricoșătoare despre cum hackerii de computer, folosind trucuri din ce în ce mai sofisticate, pătrund în bazele de date ale altor oameni Desigur, toate acestea nu contribuie la popularitatea Internetului în cercurile de afaceri Simplul gând că unii huligani sau, și mai rău, concurenți vor putea accesa arhive de date comerciale, îi face pe liderii corporativi să refuze să folosească sisteme informatice deschise Experții susțin că astfel de temeri sunt nefondate, deoarece companiile cu acces atât la rețele deschise, cât și la cele private au șanse aproape egale de a deveni victime ale terorii informatice Fiecare organizație care se ocupă de orice fel de valori, mai devreme sau mai târziu, se confruntă cu o încălcare a acestora Cei prudenți încep să-și planifice apărarea din timp, cei improvizați - după prima "puncție" majoră Într-un fel sau altul, se pune întrebarea: ce, cum și de cine să protejăm? De obicei, prima reacție la o amenințare este dorința de a ascunde obiectele de valoare într-un loc inaccesibil și de a pune paznici asupra lor Acest lucru este relativ ușor când vine vorba de astfel de valori de care nu veți avea nevoie pentru mult timp: eliminate și uitate Mult mai dificil dacă trebuie să lucrați constant cu ei Fiecare apel la seif pentru obiectele dvs de valoare va necesita o procedură specială, va dura timp și va crea inconveniente suplimentare Aceasta este dilema securității: trebuie să faci o alegere între securitatea proprietății tale și disponibilitatea acesteia pentru tine și, prin urmare, posibilitatea de utilizare utilă Toate acestea sunt valabile și pentru informații De exemplu, o bază de date care conține informații confidențiale este complet protejată de atacuri numai atunci când este localizată pe discuri scoase din computer și depozitate într-un loc protejat De îndată ce instalezi aceste discuri pe computer și începi să le folosești, apar imediat câteva canale prin care un atacator poate obține acces la secretele tale fără știrea ta Cu alte cuvinte, informațiile tale fie nu sunt disponibile pentru toată lumea, inclusiv pentru tine, fie nu sunt % sigure Poate părea că nu există nicio cale de ieșire din această situație, dar securitatea informațiilor este asemănătoare cu siguranța navigației: ambele sunt posibile doar sub rezerva unui grad acceptabil de risc În domeniul informaţiei, dilema securităţii se formulează astfel: se alege între securitatea sistemului şi deschiderea acestuia Este mai corect să vorbim nu despre alegere, ci despre echilibru, deoarece un sistem care nu are proprietatea deschiderii nu poate fi folosit În sectorul bancar, problema securității informațiilor este complicată de doi factori: în primul rând, aproape toate valorile cu care se ocupă banca (cu excepția numerarului și a altceva) există doar sub forma uneia sau acelea informații ; în al doilea rând, o bancă nu poate exista fără legături cu lumea exterioară (fără clienți, corespondenți etc ) În același timp, aceeași informație este transmisă în mod necesar prin relații externe, exprimând valorile cu care lucrează banca (sau informații despre aceste valori și mișcarea lor, care uneori costă mai mult decât valorile în sine) Documentele vin din exterior, conform cărora banca transferă bani dintr-un cont în altul În exterior, banca transmite instrucțiuni privind mișcarea fondurilor pe conturile corespondente, astfel încât deschiderea băncii să fie dată a priori Aceste considerații sunt valabile în raport nu numai cu sistemele automatizate, ci și cu sistemele construite pe fluxul de lucru tradițional pe hârtie și care nu utilizează alte conexiuni decât poșta curier Automatizarea a adăugat o bătaie de cap serviciilor de securitate, iar noile tendințe în dezvoltarea serviciilor bancare, bazate în întregime pe tehnologia informației, agravează problema Într-un stadiu incipient al automatizării, introducerea sistemelor bancare (și a instrumentelor de automatizare bancară în general) nu a sporit deschiderea băncii Comunicarea cu lumea exterioară, ca și până acum, a trecut prin casieri și curieri, așa că o amenințare suplimentară la adresa securității informațiilor a venit doar din posibilele abuzuri din partea specialiștilor IT care lucrează în bancă însăși Situația s-a schimbat după ce produsele au început să apară pe piața serviciilor financiare, a căror apariție a fost de neconceput fără IT În primul rând, acestea sunt carduri de plastic În timp ce serviciul de carduri era în modul de autorizare vocală, deschiderea sistemului informațional al băncii a crescut ușor Dar apoi au apărut bancomate, terminale POS și alte dispozitive de tip self-service, adică fonduri aparținând sistemului informațional al băncii, dar situate în afara acestuia și disponibile persoanelor din afara băncii Deschiderea sporită a sistemului a necesitat măsuri speciale de control și reglementare a schimbului de informații: mijloace suplimentare de identificare și autentificare a persoanelor care solicită accesul la sistem (cod PIN, informații despre client pe banda magnetică sau în memoria cip card, criptarea datelor, numere de control și alte mijloace de protecție a cardului), mijloace de criptoprotecție a proceselor de prelucrare a informațiilor în canalele de comunicație etc O schimbare și mai mare a echilibrului dintre securitate și deschidere către deschidere este asociată cu telecomunicațiile Sistemele electronice de decontare între bănci sunt relativ ușor de protejat, deoarece băncile înseși acționează ca subiecte a schimbului electronic de informații Acolo unde protecția nu a fost acordată atenția necesară, rezultatele au fost destul de previzibile Cel mai frapant exemplu este țara noastră Utilizarea unor mijloace extrem de primitive de protejare a telecomunicațiilor în a dus la pierderi uriașe la sfaturile false Tendința generală de dezvoltare a telecomunicațiilor și distribuția în masă a tehnologiei informatice a condus la faptul că pe piața serviciilor bancare din întreaga lume au apărut produse noi, pur de telecomunicații, în primul rând sistemele Note Banking (omologul intern este "client- bancă") Acest lucru a necesitat oferirea clienților acces nonstop la sistemul bancar automatizat pentru efectuarea tranzacțiilor, iar autoritatea de a finaliza tranzacțiile bancare era primită direct de client Gradul de deschidere a sistemului informatic al băncii a crescut aproape până la limită, așa că sunt necesare măsuri speciale, speciale pentru ca securitatea acestuia să nu scadă la fel de semnificativ În cele din urmă, a venit era autostrăzii informaționale - dezvoltarea explozivă a internetului și a serviciilor conexe Alături de noi oportunități, această rețea a adus și noi pericole S-ar părea, ce diferență are modul în care clientul contactează banca: printr-o linie dial-up care ajunge la pool-ul de modem al nodului de comunicare bancară sau prin protocolul IP prin Internet? Cu toate acestea, în primul caz, numărul maxim posibil de conexiuni este limitat de caracteristicile tehnice ale pool-ului de modemuri, în al doilea caz, de capacitățile Internetului, care pot fi mult mai mari In afara de asta, adresa de rețea a băncii este publică, în timp ce numerele de telefon ale pool-ului de modemuri pot fi dezvăluite doar părților interesate În consecință, deschiderea băncii, al cărei sistem informațional este conectat la internet, este mult mai mare decât în primul caz Deci, în doar cinci luni în , rețeaua de calculatoare a Citicorp a fost piratată de de ori! (Acest lucru indică însă nu atât pericolul internetului în general, cât mai degrabă munca insuficient calificată a administratorilor de securitate Citicorp ) Toate acestea fac necesară reconsiderarea abordărilor pentru asigurarea securității informațiilor băncii Atunci când vă conectați la Internet, ar trebui să reanalizați riscul și să întocmiți un plan de protecție a sistemului informațional, precum și un plan specific de abordare a consecințelor care apar în cazul anumitor încălcări ale confidențialității, siguranței și disponibilității De informații La prima vedere, pentru țara noastră, problema securității informațiilor bancare nu este atât de acută: suntem la curent cu internetul, dacă majoritatea băncilor au sisteme de a doua generație care funcționează pe tehnologia serverului de fișiere Din păcate, am înregistrat deja furturi de computere Situația este complicată de două probleme Prima problemă este că, după cum arată experiența de comunicare cu reprezentanții serviciilor bancare de securitate, atât conducerea, cât și personalul acestor servicii sunt dominate de foști angajați operaționali ai Afacerilor Interne sau ai agențiilor de securitate a statului Sunt foarte calificați în domeniul lor, dar cei mai mulți dintre ei au puține cunoștințe de IT În general, în țara noastră sunt foarte puțini specialiști în securitatea informațiilor, deoarece această profesie devine în masă abia acum A doua problemă este legată de faptul că în atâtea bănci securitatea sistemului bancar automatizat nu este serios analizată și asigurată Sunt foarte puține băncile care au setul necesar de documente organizaționale (analiza riscurilor, plan de protecție și plan de remediere) discutate mai devreme În plus, securitatea proceselor de prelucrare a informațiilor pur și simplu nu poate fi asigurată în cadrul sistemului automatizat disponibil în bancă și al regulilor acceptate pentru lucrul cu acesta În ceea ce privește sistemele bancare automatizate, cele mai comune sisteme din a doua și a treia generație constau dintr-un set de module software autonome lansate din linia de comandă DOS pe stațiile de lucru Operatorul are posibilitatea oricând să iasă în DOS dintr-un astfel de modul de program Se presupune că acest lucru este necesar pentru a trece la un alt modul de program, dar de fapt într-un astfel de sistem nu există modalități nu numai de a împiedica operatorul să lanseze alte programe (de la un joc inofensiv până la program care modifică datele contului bancar), dar și pentru a controla acțiunile operatorului Într-un număr de sisteme ale acestor generații, inclusiv cele dezvoltate de firme naționale foarte reputate și vândute cu sute, fișierele de cont nu sunt criptate, adică datele din ele pot fi accesate prin cele mai simple mijloace publice Mulți dezvoltatori limitează instrumentele de administrare a securității la instrumentele standard ale sistemului de operare în rețea: conectați-vă la rețea - faceți ce doriți Cu toate acestea, în Rusia, băncile și alte organizații acordă multă atenție IT și învață rapid lucruri noi Internetul și produsele financiare legate de acesta vor intra în viața băncilor rusești mai repede decât sugerează scepticii, așa că acum este necesar să ne ocupăm de problemele de securitate a informațiilor la un nivel diferit, mai profesional decât s-a făcut până acum Tehnologii și mijloace de protecție a proceselor de prelucrare a informațiilor pe Internet Acum aproape nimeni nu trebuie să demonstreze că atunci când te conectezi la Internet, pui în pericol securitatea rețelei tale locale și confidențialitatea informațiilor conținute în aceasta Potrivit Centrului de Coordonare CERT în , au fost înregistrate de incidente - hacking de rețele și servere locale Potrivit unui sondaj realizat de Computer Security Institute (CSI), printre cele mai mari de organizații, companii și universități din , numărul intruziunilor ilegale a crescut cu , %, iar pierderile cauzate de aceste atacuri sunt estimate la de milioane de SUA dolari Unul dintre cele mai comune mecanisme de apărare împotriva bandiților de pe Internet (hackeri) este utilizarea firewall-urilor - firewall-uri (firewall-uri) Dar din cauza lipsei de profesionalism a administratorilor și a neajunsurilor unor tipuri de firewall-uri, aproximativ % din hack-uri sunt comise după instalarea sistemelor de protecție În ciuda aparentului haos legal din zona luată în considerare, orice activitate de dezvoltare, vânzare și utilizare a mijloacelor de protecție a proceselor de prelucrare a informațiilor este reglementată de o varietate de documente legislative și de reglementare, iar toate sistemele utilizate sunt supuse certificării obligatorii de către stat Comisia tehnică a Rusiei Tehnologia de rețea globală Solstice FireWalI- Se acordă multă atenție problemelor de securitate a datelor în sistemele informatice distribuite Au fost dezvoltate o mulțime de instrumente de securitate a informațiilor pentru a fi utilizate pe diferite computere cu sisteme de operare diferite Ca una dintre direcții, putem identifica firewall-urile (firewall-uri), concepute pentru a controla accesul la informații de la utilizatorii rețelelor externe Această carte discută conceptele de bază ale sistemelor de ecranare, precum și cerințele pentru acestea Pe exemplul pachetului Solstice FireWall- , sunt analizate mai multe cazuri tipice de utilizare a unor astfel de sisteme, în special aspectele asigurării securității conexiunilor la Internet și utilizarea controlului accesului în cadrul rețelei corporative a unei organizații Firewall-ul în Internet a două sisteme informaționale sau a două seturi de sisteme informaționale se realizează prin plasarea unui ecran între ele Ecranul își îndeplinește funcțiile controlând toate fluxurile de informații dintre aceste două seturi de sisteme informaționale, funcționând ca un fel de membrană informațională În acest sens, ecranul poate fi gândit ca un set de filtre care analizează informațiile care trec prin ele și, pe baza algoritmilor încorporați în ele, decid dacă sări peste aceste informații sau refuză să le trimită În plus, un astfel de sistem poate înregistra evenimente legate de procesele de control al accesului, în special, poate înregistra toate încercările ilegale de acces la informații și, în plus, poate semnala situații care necesită un răspuns imediat, de ex dați alarma De obicei, sistemele de ecranare sunt realizate asimetrice Scuturile definesc conceptele de "interior" și "exterior", iar sarcina ecranului este de a proteja rețeaua internă de un mediu potențial ostil Cel mai important exemplu de rețea externă potențial ostilă este Internetul Atunci când se analizează problema unei conexiuni securizate la Internet și a controlului accesului în rețeaua corporativă a unei organizații, trebuie respectate următoarele condiții Cerința evidentă pentru astfel de sisteme este asigurarea securității rețelei interne (protejate) și controlul deplin asupra conexiunilor externe și sesiunilor de comunicare Sistemul de ecranare trebuie să aibă instrumente de management puternice și flexibile pentru a implementa cu ușurință și complet politica de securitate a organizației și, în plus, pentru a se asigura că sistemul poate fi ușor reconfigurat atunci când structura rețelei se modifică Sistemul de ecranare ar trebui să funcționeze imperceptibil pentru utilizatorii rețelei locale și să nu împiedice acțiunile lor legale Sistemul de ecranare trebuie să fie suficient de eficient pentru a gestiona întregul trafic de intrare și de ieșire la orele de vârf Acest lucru este necesar pentru ca sistemul Firewall să nu poată fi bombardat cu un număr mare de apeluri care ar duce la o întrerupere a funcționării acestuia Sistemul de securitate trebuie să fie bine protejat de orice influență neautorizată, deoarece este cheia informațiilor confidențiale din organizație În mod ideal, dacă o organizație are mai multe conexiuni externe, inclusiv cele din sucursale la distanță, sistemul de management al ecranului ar trebui să poată aplica centralizat o singură strategie de securitate pentru acestea Sistemul Firewall trebuie să aibă mijloace de autorizare a accesului utilizatorului prin conexiuni externe O situație tipică este atunci când o parte din personalul organizației trebuie să călătorească, de exemplu, în călătorii de afaceri și în procesul de lucru au nevoie de acces la cel puțin unele resurse ale rețelei informatice interne a organizației Sistemul trebuie să fie capabil să recunoască în mod fiabil astfel de utilizatori și să le ofere accesul necesar la informații Un exemplu de implementare a securității informațiilor pe Internet este pachetul software Solstice FireWall- de la Sun Microsystems Acest pachet a fost premiat în mod repetat la expoziții și concursuri Are multe caracteristici utile care îl deosebesc de produsele cu un scop similar Diagrama funcțională și componentele principale ale Solstice FireWall- sunt prezentate în fig Elementul central al sistemului FireWall-І este modulul de control al întregului complex Administratorul de securitate a rețelei lucrează cu acest modul Trebuie remarcat faptul că atenția și comoditatea interfeței grafice a modulului de control au fost remarcate în multe recenzii independente dedicate produselor din această clasă Pentru a configura complexul FireWall- , administratorul de securitate a rețelei trebuie să efectueze următorii pași: • determina obiectele implicate în procesul de prelucrare a informațiilor (adică utilizatori și grupuri de utilizatori, calculatoare și grupurile acestora, routere și diferite subrețele ale rețelei locale a organizației); • descrieți protocoalele de rețea și serviciile cu care vor funcționa aplicațiile (de obicei, un set de peste de descrieri furnizate cu sistemul FireWall- este suficient); • Folosind conceptele introduse, descrieți tehnologia de control al accesului în următorii termeni: "Grupului de utilizatori A i se permite accesul la resursa B folosind serviciul sau protocolul C, dar acest lucru trebuie notat în jurnal" Setul de astfel de înregistrări este compilat într-o formă executabilă de către unitatea de control și apoi transferat la modulele de filtrare pentru execuție Modulele de filtrare pot fi amplasate pe computere - gateway-uri sau servere dedicate - sau în routere ca parte a informațiilor de configurare În prezent sunt acceptate două tipuri de routere: Cisco IOS x, x; Sistemul de operare BayNetworks (Wellfleet) v Modulele de filtrare privesc toate pachetele care ajung la interfețele de rețea și, în funcție de regulile specificate, trec sau aruncă aceste pachete cu o intrare corespunzătoare în jurnal Aceste module, lucrând direct cu driverele de interfață de rețea, procesează întregul flux de date, având informații complete despre pachetele transmise Procesul tehnologic de implementare practică a strategiei de securitate a organizației folosind pachetul software FireWall- este prezentat în fig Biroul principal Jurnal de administrare Management Gateway Managementul routerului Orez Diagrama funcțională și componentele principale ale Solstice FireWall- : - poarta de acces; - jurnalul evenimentelor; - calculator; - modul satelit pentru filtrarea fluxurilor; і-і - lista de acces la router Orez Procesul tehnologic de implementare practică a strategiei de securitate a organizației folosind pachetul software FireWall-l La nivel de management sunt elaborate și aprobate regulile de strategie de securitate ale organizației După aprobare, aceste reguli sunt transferate la nivelul subdiviziunii de securitate informatică, care formează o structură de genul "de unde, unde și în ce mod accesul este permis sau, dimpotrivă, interzis" Astfel de structuri sunt ușor transferate în bazele de reguli ale sistemului FireWall-l Apoi, pe baza acestei baze de reguli la nivel de control, FireWall-l formează liste de acces pentru routere și scripturi pentru filtre de pe gateway-uri de rețea Listele și scripturile sunt apoi transferate la componentele fizice ale rețelei, după care intră în vigoare regulile politicii de securitate Ca parte a stratului de filtrare a pachetelor, gateway-urile și serverele generează înregistrări ale tuturor evenimentelor pe care li se cere să le monitorizeze, precum și declanșează mecanisme de alarmă care necesită un răspuns imediat din partea administratorului (vezi Figura , pasul ) Pe baza analizei înregistrărilor și evenimentelor realizate de sistem, departamentul de securitate informatică al organizației la etapele , și poate elabora propuneri pentru schimbarea și dezvoltarea în continuare a strategiei de securitate În acest caz, se aplică următoarele reguli: ) din rețelele locale de subdiviziuni, eventual la distanță, comunicarea cu orice rețea locală a organizației este permisă după autentificare, de exemplu, folosind o parolă UNIX; ) oricui i se interzice accesul la rețeaua departamentului financiar, cu excepția directorului general și a directorului acestui departament; ) de pe Internet este permis doar trimiterea și primirea de corespondență Toate celelalte încercări de comunicare trebuie înregistrate în detaliu După descărcarea regulilor FireWall-I pentru fiecare pachet transmis prin rețea, administratorul scanează secvențial lista de reguli până când este găsit un element care se potrivește cu cazul curent În acest caz, este necesar să se protejeze sistemul pe care se află modulul de configurare administrativă FireWall- Este recomandat să dezactivați toate tipurile de acces la această mașină folosind FireWall-І, sau cel puțin să limitați strict lista de utilizatori cărora li se permite să facă acest lucru și, de asemenea, să luați măsuri pentru a restricționa fizic accesul și a-l proteja folosind instrumentele obișnuite ale sistemului de operare UNIX Dacă configurația inițială a rețelei se modifică și strategia de securitate se schimbă odată cu aceasta și dacă o organizație decide să găzduiască mai multe servere publice pentru a furniza servicii de informații, cum ar fi World Wide Web, FTP sau alte servere de informații, atunci acestea sunt adesea alocate propriei subrețea , care are acces la Internet printr-un gateway (Fig ) Rețeaua internă a organizației Internet Orez Schema de gateway de internet atunci când utilizați servere: - 'gateway Deoarece rețeaua locală era deja securizată în exemplul anterior, tot ce trebuie să facem este pur și simplu să permitem accesul adecvat la subrețeaua alocată Acest lucru se face cu o linie suplimentară în editorul de reguli, care este afișat aici Această situație este tipică atunci când se schimbă configurația FireWall- Acest lucru necesită de obicei schimbarea uneia sau a câtorva linii într-un set de reguli de acces, ceea ce ilustrează, fără îndoială, puterea instrumentelor de configurare și sofisticarea generală a arhitecturii FireWall-l Când lucrați cu FTP, este necesară autentificarea utilizatorului În același timp, Solstice FireWall-l permite administratorului să seteze diferite moduri de lucru cu servicii interactive FTP și telnet pentru diferiți utilizatori și grupuri de utilizatori Când modul de autentificare este setat, FireWall-l înlocuiește demonii standard UNIX FTP și telnet cu propriile sale, plasându-le pe un gateway închis cu module de filtrare a pachetelor Un utilizator care dorește să inițieze o sesiune interactivă FTP sau telnet (acesta trebuie să fie un utilizator valid și la o oră valabilă) poate face acest lucru doar conectându-se la un astfel de gateway, unde are loc întreaga procedură de autentificare Este specificat la descrierea utilizatorilor și/sau a grupurilor de utilizatori și poate fi realizat în următoarele moduri: • utilizarea unei parole UNIX; • aplicarea programului S/Key pentru generarea parolelor unice; • utilizarea unui card SecurID cu generare hardware de parole unice O preocupare deosebită pentru securitate sunt protocoalele UDP care fac parte din suita TCP/IP Pe de o parte, multe aplicații se bazează pe ele, iar pe de altă parte, toate sunt protocoale fără stat, ceea ce nu duce la nicio diferență între o solicitare și un răspuns care vine din afara rețelei protejate Pentru a rezolva această problemă, se folosesc algoritmi flexibili pentru filtrarea pachetelor UDP Deci, pachetul FireWall- rezolvă această problemă prin crearea unui context de conexiune pe deasupra sesiunilor UDP, amintindu-și parametrii de solicitare Numai răspunsurile de la serverele externe la cererile trimise sunt transmise înapoi, care sunt în mod unic diferite de orice alte pachete UDP, deoarece parametrii lor sunt stocați în memoria FireWall- Această caracteristică este prezentă în puținele programe de screening disponibile în prezent Mecanisme similare sunt folosite pentru aplicațiile care utilizează RPC și pentru sesiunile FTP Există probleme similare aici cu alocarea dinamică a portului pentru sesiunile de comunicații, pe care FireWall- le monitorizează în același mod, amintindu-și informațiile necesare atunci când se solicită astfel de sesiuni și asigurând doar comunicarea legitimă Aceste caracteristici ale Solstice FireWall- îl deosebesc de toate celelalte firewall-uri Pentru prima dată, problema de securitate a fost rezolvată pentru toate serviciile și protocoalele care există pe Internet fără excepție Sistemul Solstice FireWall- are propriul său limbaj de programare orientat pe obiecte încorporat, care este folosit pentru a descrie comportamentul modulelor - filtre de sistem Rezultatul muncii interfeței grafice a administratorului de sistem este scriptul de lucru generat în acest limbaj intern Nu este greu de înțeles, ceea ce permite programarea directă pe el Cu toate acestea, în practică, această caracteristică nu este aproape niciodată utilizată, deoarece interfața grafică a sistemului vă permite deja să faceți aproape tot ce aveți nevoie FireWalI-І este complet transparent pentru utilizatorii finali și are o viteză foarte mare De fapt, modulele de sistem funcționează la rate de transfer de date din rețea, ceea ce se datorează compilarii scenariilor de lucru generate înainte de a le conecta direct la procesul de filtrare Sun Microsystems furnizează următoarele date de performanță pentru Solstice FireWall- Modulele de filtrare de pe poarta de internet, configurate într-un mod tipic pentru multe organizații, care funcționează la viteze Ethernet normale de MB/s, ocupă nu mai mult de % din puterea de procesare a unui procesor SPARCstation , MHz sau a unui computer DX - cu sistemul de operare Solaris/x Solstice FireWall- este un mijloc eficient de a proteja rețelele corporative și segmentele acestora de amenințările externe, precum și de interacțiunile neautorizate ale utilizatorilor locali cu sistemele externe Solstice FireWall- oferă suport la nivel înalt pentru politica de securitate a unei organizații în toate protocoalele din familia TCP/IP Solstice FireWall- este transparent pentru utilizatorii legitimi și extrem de eficient Solstice FireWall- ocupă o poziție de lider în rândul firewall-urilor în ceea ce privește caracteristicile tehnice și de cost Problema securității pe Internet este tehnologia de utilizare a serverelor WWW Restricțiile de acces în WWW-cep-faiths sunt construite în două versiuni: • restricţionarea accesului prin adrese IP ale maşinilor client; • până la ID-ul destinatarului cu o parolă pentru acest tip de documente Acest tip de introducere de restricții a devenit folosit destul de des, deoarece mulți caută Internetul pentru a utiliza comunicările sale pentru a-și furniza informațiile către consumator Cu ajutorul unor astfel de mecanisme de delimitare a drepturilor de acces, este convenabil să se distribuie informația în sine, pentru care există un acord Conform primei opțiuni, accesul la documente private poate fi permis sau, dimpotrivă, refuzat folosind adresele IP ale unor mașini sau rețele specifice, de exemplu: În acest caz, accesul va fi permis (sau refuzat, în funcție de context) pentru mașina cu adresa IP și pentru toate mașinile de pe subrețeaua În opțiunea de restricție a ID-ului destinatarului, accesul la documente private poate fi permis sau, dimpotrivă, refuzat folosind numele și parola atribuite unui anumit utilizator În plus, parola nu este stocată în mod explicit nicăieri Luați în considerare următorul exemplu Agenția de presă oferă produsele sale numai abonaților săi care au încheiat un acord și au plătit abonamentul Serverul WWW se află pe Internet și este disponibil publicului În acest caz, utilizatorul folosește numele de utilizator și parola care i-au fost atribuite Dacă și-a scris corect numele și parola, atunci i se permite să acceseze documentul, altfel primește un mesaj Securitatea informațiilor pe intranet Arhitectura Intranet presupune conectarea la rețele externe deschise, utilizarea serviciilor externe și furnizarea de servicii proprii în exterior, ceea ce impune cerințe sporite privind protecția proceselor de prelucrare a informațiilor Sistemele intranet utilizează o abordare client-server, iar rolul principal astăzi este atribuit serverului Web Serverele web trebuie să accepte caracteristici tradiționale de securitate, cum ar fi autentificarea și controlul accesului În plus, este necesar să se furnizeze noi proprietăți, în special securitatea mediului software atât pe partea serverului, cât și a clientului Măsurile pentru asigurarea securității informațiilor pe Intranet pot fi împărțite în patru niveluri: • legislative (legi, reglementări, standarde etc ); • administrative (acţiuni cu caracter general întreprinse de conducerea organizaţiei); • procedurale (măsuri specifice de securitate); • software și hardware (măsuri tehnice specifice) În prezent, cel mai detaliat document legislativ în domeniul securității informațiilor este Codul Penal al Federației Ruse În sec IX "Infracțiuni contra siguranței publice" există Cap "Infracțiuni în domeniul informației informatice ție Conține trei articole: art "Accesul ilegal la informații informatice", art "Crearea, utilizarea și distribuirea de programe rău intenționate pentru calculatoare" și art "Încălcarea regulilor de funcționare a calculatoarelor, sistemelor informatice sau a rețelelor acestora" Codul Penal al Federației Ruse veghează asupra tuturor aspectelor legate de securitatea informațiilor: accesibilitate, integritate, confidențialitate, prevede sancțiuni pentru distrugerea, blocarea, modificarea și copierea informațiilor, întreruperea computerului, a sistemului informatic sau a rețelei acestora Comisia Tehnică de Stat a Rusiei desfășoară lucrări foarte energice în domeniul IT-ului modern Ca parte a unei serii de linii directoare (DR) ale Comisiei Tehnice de Stat a Rusiei, a fost elaborat un proiect de RD care stabilește clasificarea firewall-urilor (firewall-uri sau firewall-uri) în funcție de nivelul de protecție împotriva accesului neautorizat Acesta este un document important pentru eficientizarea utilizării măsurilor de protecție necesare implementării tehnologiei Intranet O strategie de securitate este definită ca un set de decizii de management documentate menite să protejeze procesele de procesare a informațiilor și resursele asociate La dezvoltarea și implementarea acestuia, este recomandabil să vă ghidați după următoarele principii: • separarea atribuțiilor; • Consolidarea verigii celei mai slabe; • apărare "stratificată"; • minimizarea privilegiilor; • imposibilitatea trecerii la o stare nesigură; • varietate de echipamente de protecție; • simplitatea și manevrabilitate a sistemului informațional; • Asigurarea suportului universal pentru măsurile de securitate În ceea ce privește firewall-urile, toate fluxurile de informații către și dinspre rețeaua protejată trebuie să treacă prin firewall Nu ar trebui să existe intrări secrete de modem sau linii de test care să ocolească ecranul Puterea oricărei apărări este determinată de veriga ei cea mai slabă Atacatorul nu va lupta împotriva puterii, el va prefera o victorie ușoară asupra slăbiciunii Adesea, cea mai slabă verigă nu este un computer sau un program, ci o persoană, iar atunci problema asigurării securității informațiilor capătă un caracter organizațional și social Principiul segregării sarcinilor implică o astfel de distribuție a rolurilor și responsabilităților, în care o persoană nu poate perturba un proces care este critic pentru organizație Acest lucru este deosebit de important pentru a preveni acțiunile rău intenționate sau necalificate ale administratorului de sistem Consolidarea verigii celei mai slabe necesită mai întâi identificarea acesteia, iar apoi implementarea măsurilor de consolidare a acesteia Implementarea principiului apărării "stratificate" prescrie să nu se bazeze pe o singură barieră de protecție, oricât de fiabilă ar părea aceasta Securitatea fizică stratificată ar trebui să fie urmată de un nivel de securitate de software și hardware, identificarea și autentificarea ar trebui să fie urmate de controlul accesului și, ca frontieră finală, înregistrarea și auditarea Apărarea în profunzime este capabilă să întârzie cel puțin un atacator, iar prezența unei astfel de frontiere precum înregistrarea și auditarea face mult mai dificilă efectuarea de acțiuni rău intenționate neobservate Principiul celui mai mic privilegiu impune ca utilizatorilor și administratorilor să li se acorde doar acele drepturi de acces de care au nevoie pentru a-și îndeplini atribuțiile Principiul imposibilității tranziției la o stare nesigură înseamnă că în orice circumstanțe, inclusiv în cele anormale, instrumentul de protecție fie își îndeplinește pe deplin funcțiile, fie blochează complet accesul Figurat vorbind, dacă mecanismul podului mobil se rupe în cetate, podul trebuie să rămână în stare ridicată, împiedicând trecerea inamicului Principiul diversității mijloacelor de protecție recomandă organizarea unor linii de apărare de natură variată, astfel încât un potențial atacator trebuie să stăpânească o varietate de abilități și, dacă este posibil, incompatibile (de exemplu, capacitatea de a depăși un gard înalt și cunoașterea punctelor slabe) a mai multor sisteme de operare) Principiul simplității și controlabilității sistemului informațional în ansamblu și, mai ales, a echipamentului de protecție este foarte important Numai pentru un simplu instrument de securitate se poate dovedi formal sau informal corectitudinea acestuia Doar într-un sistem simplu și gestionabil puteți verifica consistența configurației diferitelor componente și puteți implementa o administrare centralizată În acest sens, rolul integrator al serviciului Web este important, ascunzând varietatea de obiecte servite și oferind o singură interfață vizuală În consecință, dacă obiectele de un fel (de exemplu, tabele de baze de date) sunt accesibile prin Web, accesul direct la acestea trebuie blocat, altfel sistemul va fi complex și dificil de gestionat Principiul asigurării suportului universal pentru măsurile de securitate are o manifestare organizatorică și socială Dacă utilizatorii și (sau) administratorii de sistem consideră că IS este ceva de prisos sau chiar ostil, atunci cu siguranță nu va fi posibil să se creeze un mod de securitate Este necesar încă de la început să se prevadă un set de măsuri menite să asigure loialitatea personal, pentru pregătire teoretică și practică constantă Analiza riscurilor este cel mai important pas în dezvoltarea unei strategii de securitate Atunci când se evaluează riscurile la care sunt expuse sistemele Intranet, trebuie luate în considerare următoarele: • noi amenințări la adresa serviciilor vechi care rezultă din posibilitatea de ascultare pasivă sau activă în rețea Ascultarea pasivă înseamnă citirea traficului de rețea, iar ascultarea activă înseamnă modificarea acestuia (furt, duplicare sau modificare a datelor transmise) De exemplu, autentificarea unui client la distanță cu o parolă reutilizabilă nu poate fi considerată sigură într-un mediu de rețea, indiferent de lungimea parolei; • servicii noi (de rețea) și amenințări asociate acestora În general, sistemele Intranet ar trebui să respecte principiul "tot ce nu este permis, este interzis", deoarece un serviciu de rețea suplimentar poate oferi un canal pentru infiltrarea unui sistem corporativ Aceeași idee este exprimată prin propoziția "tot ce este de neînțeles este periculos" Tehnologia intranet nu impune cerințe specifice măsurilor la nivel procedural Doar două circumstanțe merită o atenție specială: • descrierea posturilor legate de definirea, completarea și menținerea structurii corporative de hipertext a documentelor oficiale; • suport pentru ciclul de viață al informațiilor care umple Intranetul Când descrieți pozițiile, este recomandabil să mergeți din analogia dintre Intranet și, de exemplu, o editură Editura are un director care determină direcția generală de activitate Pe Intranet, acesta corespunde unui administrator Web care decide ce informații corporative ar trebui să fie prezente pe serverul Web și cum ar trebui să fie structurat arborele (mai precis, graficul) documentelor HTML În editurile multidisciplinare există redacții care se ocupă de domenii specifice (cărți de matematică, cărți pentru copii etc ) În mod similar, pe Intranet este alocat postul de editor, care se ocupă de apariția documentelor departamentelor individuale și determină lista și natura publicațiilor Fiecare carte are un editor de titlu care este responsabil față de editor pentru munca sa Pe Intranet, editorii sunt implicați în inserarea documentelor în arborele corporativ, corectarea lor și ștergerea lor În organizațiile mari, "stratul" editorului/editorului poate consta din mai multe straturi În sfârșit, atât editorul, cât și Intranetul trebuie să aibă autori care creează documente Nu ar trebui să aibă drepturi de modificare împărțirea arborelui corporativ și a documentelor individuale, sarcina lor este să predea munca lor redactorului Pe lângă documentele oficiale, corporative, Intranetul poate conține documente de grup și personale, procedura de lucru cu care (roluri, drepturi de acces) este determinată, respectiv, de interesele de grup și personale Pentru a susține ciclul de viață al informațiilor Intranet, este necesar să folosiți instrumente de management al configurației Avantajul tehnologiei Intranet constă în faptul că principalele operațiuni de gestionare a configurației - efectuarea de modificări (crearea unei versiuni noi) și preluarea unei versiuni vechi a unui document - se încadrează în mod natural în cadrul interfeței Web Firewall-urile, un instrument de control al accesului care protejează împotriva amenințărilor și amenințărilor externe din partea utilizatorilor altor segmente ale rețelelor corporative, pot fi, de asemenea, plasate pe primul loc printre astfel de măsuri ale nivelului software și hardware de securitate a informațiilor Intranet (vezi subsecțiunea ) Nu este posibilă combaterea amenințărilor inerente mediului de rețea folosind sisteme de operare universale Universal OS este un program uriaș care conține, pe lângă bug-uri evidente, câteva caracteristici care pot fi folosite pentru a obține privilegii ilegale Tehnologia modernă de programare nu permite ca programele atât de mari să fie sigure În plus, un administrator care se ocupă de un sistem complex nu este întotdeauna capabil să ia în considerare toate consecințele modificărilor efectuate (precum și un medic care nu cunoaște toate efectele secundare ale medicamentelor recomandate) În cele din urmă, într-un sistem universal multi-utilizator, găurile de securitate sunt create constant de către utilizatori înșiși (parole slabe și/sau rar schimbate, drepturi de acces prost setate, un terminal nesupravegheat etc ) Singura modalitate promițătoare este asociată cu dezvoltarea unor instrumente de securitate specializate, care, datorită simplității lor, permit verificarea formală sau informală Firewall-ul este doar un astfel de instrument care permite descompunerea ulterioară asociată cu întreținerea diferitelor protocoale de rețea Un firewall intranet este o membrană semi-permeabilă care se află între rețeaua protejată (internă) și mediul extern (rețele externe sau alte segmente ale rețelei corporative) și controlează toate fluxurile de informații către și dinspre rețeaua internă (Figura ) Controlul fluxurilor de informații constă în filtrarea acestora, adică în trecerea selectivă prin ecran, eventual cu performanța unora Fluxuri sub control Rețea protejată * e c R a n * Rețea potențial ostilă Clienti Servere Servere Clienti Orez Diagrama firewall intranet conversii și notificarea expeditorului că datele sale nu au fost accesate Filtrarea se bazează pe un set de reguli preîncărcate pe ecran care sunt o expresie a aspectelor de rețea ale strategiei de securitate a organizației Este indicat să separați cazurile când ecranul este instalat la granița cu o rețea externă (de obicei publică) sau la granița dintre segmentele aceleiași rețele corporative (în consecință, vom vorbi despre firewall-uri externe și interne) De regulă, atunci când comunicați cu rețele externe pe Intranet, ca în orice CS, este utilizată numai familia de protocoale TCP/IP Prin urmare, un firewall extern trebuie să țină cont de specificul acestor protocoale Pentru ecranele interne, situația este mai complicată Aici, pe lângă TCP/IP, trebuie luate în considerare cel puțin protocoalele SPX/IPX utilizate în rețelele Novell NetWare Cu alte cuvinte, ecranele interne trebuie adesea să fie multi-protocol Situațiile în care rețeaua corporativă conține un singur canal extern reprezintă mai degrabă excepția decât regula Dimpotrivă, o situație tipică este atunci când o rețea corporativă este formată din mai multe segmente dispersate geografic, fiecare dintre acestea fiind conectat la o rețea publică (Fig ) În acest caz, fiecare conexiune trebuie protejată de propriul scut Putem presupune că firewall-ul extern corporativ este unul compozit și este necesar pentru a rezolva problema administrării coordonate (management și audit) a tuturor componentelor Când luăm în considerare orice problemă legată de rețea, modelul de referință ISO/OSI cu șapte straturi servește ca bază Firewall-urile ar trebui, de asemenea, clasificate în funcție de nivelul la care se realizează filtrarea - canal, rețea, transport sau aplicație În consecință, putem vorbi despre hub-uri de ecranare, routere, ecranare de transport și scuturi de aplicație Există și ecrane care analizează informațiile la mai multe niveluri Atunci când iau o decizie de trecere/nu trece, firewall-urile pot folosi nu numai informațiile conținute în fluxurile filtrate, ci și date primite din mediu, cum ar fi ora curentă Astfel, capacitățile unui firewall sunt direct determinate de informațiile care pot fi utilizate în regulile de filtrare și de cât de puternice pot fi seturile de reguli Cu cât este mai mare nivelul în modelul ISO/OSI la care funcționează ecranul, cu atât informațiile mai semnificative sunt disponibile pentru acesta și, prin urmare, ecranul poate fi configurat mai subțire și mai fiabil În același timp, filtrarea la fiecare dintre nivelurile de mai sus are propriile sale avantaje, cum ar fi costul scăzut, eficiența ridicată sau transparența pentru utilizatori În cele mai multe cazuri, sunt utilizate configurații mixte, în care sunt combinate diferite tipuri de ecrane Cea mai tipică este o combinație de routere de ecranare și un scut de aplicație cu rețele externe și interne, a cărei diagramă de conectare este prezentată în fig Această configurație se numește subrețea scut De obicei, serviciile oferite de o organizație Orez Schema de ecranare pentru o rețea corporativă constând din mai multe segmente (site-uri) dispersate geografic, fiecare dintre acestea fiind conectat la o rețea publică Rețea externă (Intranet) Subrețea ecranată □ Router de scut extern eu i eu Ecran aplicat ! - Router de scut extern i i i Rețea internă Orez Schema de conectare a routerelor de ecranare și a scutului de aplicație cu rețelele externe și interne pentru uz extern (de exemplu, un reprezentant Web-cep-ver), este recomandabil să îl scoateți doar în subrețeaua de screening Pe lângă expresivitate și numărul permis de reguli, calitatea unui firewall este determinată de încă două caracteristici: ușurința de utilizare și propria sa securitate În ceea ce privește ușurința în utilizare, o interfață clară pentru stabilirea regulilor de filtrare și capacitatea de a administra central configurațiile compozite sunt de o importanță capitală La rândul lor, în ultimul aspect, există mijloace de încărcare centralizată a regulilor de filtrare și de verificare a setului de reguli pentru coerență Importantă este colectarea și analiza centralizată a informațiilor de înregistrare, precum și primirea de semnale despre încercările de a efectua acțiuni interzise de strategia de securitate Securitatea inerentă a firewall-ului este asigurată prin aceleași mijloace ca și securitatea sistemelor universale Atunci când efectuați administrarea centralizată, ar trebui să aveți grijă și de protejarea informațiilor de ascultarea pasivă și activă a rețelei, de exemplu asigurarea integrității și confidențialității informațiilor Natura screening-ului (filtrarea) ca mecanism de securitate este foarte profundă Pe lângă blocarea fluxurilor de date care încalcă politica de securitate, firewall-ul poate ascunde informații despre rețeaua protejată, îngreunând astfel acțiunile potențialilor atacatori De exemplu, un ecran de aplicație poate efectua acțiuni în numele entităților interne din rețea, în urma cărora, din rețeaua externă, se pare că interacțiunea este exclusiv cu firewall-ul O astfel de schemă de fluxuri de informații adevărate și aparente este prezentată în Fig Cu această abordare, topologia rețelei interne este ascunsă utilizatorilor externi, astfel încât sarcina atacatorului devine mult mai complicată O metodă mai generală de ascundere a informațiilor despre topologia rețelei protejate este traducerea adreselor de rețea internă, care rezolvă simultan problema extinderii spațiului de adrese alocat organizației O interfață de limitare poate fi, de asemenea, considerată ca un fel de evadare Un obiect invizibil este greu de atacat, mai ales cu un set fix de instrumente În acest sens, interfața Web este în mod natural sigură, mai ales atunci când documentele hipertext sunt generate dinamic Fiecare vede doar ceea ce ar trebui să vadă Rolul de screening al unui serviciu Web se manifestă clar și atunci când acest serviciu realizează funcții intermediare (mai precis, integratoare) atunci când accesează alte resurse, în special tabele de baze de date Nu numai că controlează fluxurile de interogări, dar ascunde și organizarea reală a bazelor de date Securitatea mediului software poate fi asigurată prin utilizarea agenților activi (atunci când datele executabile nu sunt doar pasive, ci și active, adică programele, sunt transferate între computere) Scopul inițial este de a reduce traficul de rețea efectuând cea mai mare parte a procesării acolo unde se află datele (apropierea programelor de date) În practică, aceasta înseamnă mutarea programelor pe servere Un exemplu clasic de implementare a acestei abordări sunt procedurile stocate în SGBD-urile relaționale Subiecte și obiecte Adevăratele fluxuri de informații Orez Fluxuri de informații adevărate și aparente Pentru serverele Web, procedurile stocate sunt analoge cu programele care servesc Common Gateway Interface (CGI - Common Gateway Interface) Rutinele CGI se află pe servere și sunt de obicei folosite pentru a genera dinamic documente HTML Politica de securitate și controalele procedurale ale organizației ar trebui să definească cine are dreptul de a pune proceduri CGI pe server Aici este necesar un control strict, deoarece executarea unui program incorect de către server poate duce la consecințe grave O măsură tehnică rezonabilă este reducerea la minimum a privilegiilor utilizatorului în numele căruia rulează serverul web În tehnologia Intranet, dacă vă pasă de calitatea și puterea expresivă a interfeței cu utilizatorul, devine necesar să mutați programe de pe serverele Web pe computerele client - pentru a crea animație, a efectua control semantic la introducerea datelor și așa mai departe Agenții activi sunt o parte integrantă a tehnologiei Intranet În orice direcție se deplasează programele în rețea, aceste acțiuni prezintă un pericol sporit, deoarece un program obținut dintr-o sursă nesigură poate conține erori neintenționate sau cod rău intenționat creat Un astfel de program amenință potențial toate aspectele principale ale securității informațiilor: • accesibilitate (programul poate absorbi toate resursele disponibile); • integritate (programul poate sterge sau corupa datele); • confidențialitate (programul poate citi datele și le poate transfera prin rețea) Astfel, sistemul de programare Java oferă trei linii defensive: • fiabilitatea limbajului; • control la primirea programelor; • control în timpul executării programelor Există un alt mijloc foarte important de a asigura securitatea informațiilor - deschiderea fără precedent a sistemului Java Textele sursă ale compilatorului și interpretului Java sunt disponibile pentru verificare, așa că este foarte probabil ca erorile și deficiențele să fie primele descoperite de experți onești, și nu de atacatori Din punct de vedere conceptual, cea mai mare dificultate este executarea controlată a programelor descărcate în rețea În primul rând, este necesar să se determine ce acțiuni sunt considerate acceptabile pentru astfel de programe Dacă pornim de la faptul că Java este un limbaj pentru scrierea părților client ale aplicațiilor, una dintre cerințele principale pentru care este mobilitatea, atunci programul încărcat poate servi doar interfața utilizator și rețeaua cu serverul Programul nu poate funcționa cu fișiere, fie și doar pentru că terminalul Java poate să nu le aibă Acțiunile mai semnificative ar trebui efectuate pe partea serverului sau efectuate de programe locale pentru sistemul client O abordare interesantă este oferită de specialiștii Sun Microsystems pentru a asigura execuția în siguranță a fișierelor batch Vorbim despre mediul Safe-Tcl (Tool Comman Language) Sun a venit cu un așa-numit model de celule pentru interpretarea fișierelor batch Există un interpret principal care are acces la toate caracteristicile limbii Dacă un fișier batch discutabil trebuie să fie executat în timpul funcționării aplicației, atunci este generat un interpret de comandă slave care are o funcționalitate limitată (de exemplu, gestionarea fișierelor și capabilitățile de rețea pot fi eliminate din acesta) Ca rezultat, programele potențial periculoase sunt închise în celule care protejează sistemele utilizatorilor de acțiuni ostile Pentru a efectua acțiuni care sunt considerate privilegiate, interpretul slave poate face cereri celui principal Există aici o analogie cu separarea spațiilor de adrese ale sistemului de operare și procesele utilizatorului și utilizarea apelurilor de sistem din urmă Acest model este standardul pentru sistemele de operare multiutilizator de aproximativ de ani Alături de asigurarea securității mediului software, cea mai importantă este problema controlului accesului la obiectele serviciului Web Pentru a rezolva această problemă, este necesar să înțelegem ce este un obiect, cum sunt identificați subiecții și ce model de control al accesului - forțat sau arbitrar - este aplicat În serverele Web, obiectele de acces sunt URL-uri (Uniform (Universal) Resource Locators) În spatele acestor localizatori pot fi diverse entități: fișiere HTML, proceduri CGI și așa mai departe De regulă, subiecții de acces sunt identificați prin adrese IP și (sau) numele computerelor și zonelor de control În plus, pot fi utilizate autentificarea cu parolă a utilizatorilor sau scheme mai complexe bazate pe tehnologii criptografice Majoritatea serverelor Web restricționează permisiunile la directoare (directoare) folosind controlul de acces arbitrar Permisiunile de a citi fișiere HTML, de a executa proceduri CGI și așa mai departe pot fi acordate Analiza regulată a informațiilor de înregistrare este importantă pentru detectarea timpurie a încercărilor de a pătrunde ilegal în serverul Web Protecția sistemului pe care rulează serverul Web trebuie să urmeze recomandări universale, principala dintre acestea fiind simplificarea maximă Toate serviciile, fișierele și dispozitivele inutile trebuie eliminate Numărul de utilizatori cu acces direct la server trebuie menținut la un nivel minim, iar privilegiile acestora ar trebui ordonate în funcție de responsabilitățile postului Un alt principiu general este de a minimiza cantitatea de informații pe care utilizatorii o pot obține despre server Multe servere, atunci când sunt accesate prin numele unui director și nu există niciun fișier index HTML în el, emit o versiune HTML a cuprinsului directorului Acest cuprins poate conține numele fișierelor cu textele sursă ale procedurilor CGI sau alte informații confidențiale Este recomandabil să dezactivați astfel de caracteristici suplimentare, deoarece cunoștințele inutile (a unui atacator) multiplică durerile (a proprietarului serverului) Tehnicile utilizate în rețelele deschise pentru validarea și autentificarea subiecților trebuie să fie rezistente la istoria pasivă și activă în rețea Esența lor este următoarea: • subiectul demonstrează cunoașterea cheii secrete; în acest caz, cheia fie nu este transmisă deloc prin rețea, fie este transmisă în formă criptată; • Subiectul demonstrează posesia unui instrument software sau hardware pentru generarea de parole unice sau a unui instrument care funcționează în modul provocare-răspuns Este ușor de observat că interceptarea și reproducerea ulterioară a unei parole unice sau a unui răspuns la o solicitare nu face nimic pentru un atacator; • subiectul demonstrează autenticitatea locației sale, folosind un sistem de sateliți de navigație Una dintre cele mai importante sarcini este protecția fluxurilor de date corporative transmise prin rețele deschise Canalele deschise pot fi protejate în mod fiabil printr-o singură metodă - criptografică Așa-numitele linii închiriate nu au avantaje deosebite față de liniile publice în ceea ce privește securitatea informațiilor Liniile închiriate vor fi cel puțin parțial amplasate într-o zonă necontrolată, unde pot fi deteriorate sau se pot face conexiuni neautorizate la ele Singurul avantaj este debitul garantat al liniilor închiriate și deloc un fel de securitate sporită Cu toate acestea, canalele moderne de fibră optică sunt capabile să satisfacă nevoile multor abonați, prin urmare, acest avantaj nu este întotdeauna real În timp de pace, % din traficul Departamentului de Apărare al SUA este transmis prin rețele publice (în special pe Internet) În timp de război, această pondere ar trebui să fie de doar % Se poate presupune că Pentagonul nu este cea mai săracă organizație Armata SUA se bazează pe rețelele publice, deoarece dezvoltarea propriei infrastructuri în fața schimbărilor tehnologice rapide este foarte costisitoare și inutilă, justificată chiar și pentru organizațiile naționale importante doar în cazuri excepționale Pare firesc să încredințezi firewall-ului sarcina de a cripta și decripta traficul corporativ pe drumul său către și dinspre rețeaua externă Pentru ca o astfel de criptare/decriptare să fie posibilă, trebuie să aibă loc o distribuție inițială a cheilor Tehnologiile criptografice moderne oferă o serie de metode pentru aceasta După ce firewall-urile au efectuat închiderea criptografică a fluxurilor de date corporative, separarea teritorială a segmentelor de rețea se manifestă doar în cursuri de schimb diferite cu segmente diferite În caz contrar, întreaga rețea arată ca o singură entitate, iar abonații nu sunt obligați să atragă niciun echipament de protecție suplimentar Cel mai important aspect al securității informațiilor este și controlabilitatea sistemului Capacitatea de gestionare a sistemului este atât menținerea disponibilității ridicate a sistemului prin detectarea timpurie și eliminarea problemelor, cât și capacitatea de a schimba configurația hardware și software în conformitate cu condițiile sau nevoile în schimbare, precum și notificarea încercărilor de încălcare a securității informațiilor aproape în realitate timp, și reducerea numărului de erori de administrare și multe altele Cea mai acută problemă de gestionare apare la stațiile de lucru client și la joncțiunea părților client și server ale sistemului informațional Motivul este simplu - sunt mult mai multe locuri client decât cele server, sunt de obicei împrăștiate pe o zonă mult mai mare, sunt folosite de oameni cu calificări și obiceiuri diferite Întreținerea și administrarea stațiilor de lucru client este extrem de complexă, costisitoare și predispusă la erori Datorită simplității și omogenității arhitecturii, tehnologia Intranet face posibilă ca costul administrării unui loc de muncă client să fie practic zero Important este că înlocuirea și repunerea în funcțiune a unui computer client se poate face foarte rapid, deoarece aceștia sunt "clienți fără stat" și nu au nimic care să necesite recuperare sau configurare îndelungată La joncțiunea părților client și server ale sistemului Intranet, există un server Web Acest lucru vă permite să aveți un singur mecanism pentru înregistrarea utilizatorilor și acordarea drepturilor de acces din software următoarea administrație centralizată Interacțiunea cu numeroase servicii eterogene este ascunsă nu numai utilizatorilor, ci și, în mare măsură, administratorului de sistem Sarcina de a asigura securitatea informațiilor pe Intranet se dovedește a fi mai simplă decât în cazul sistemelor distribuite arbitrare construite în arhitectura client/server Motivul pentru aceasta este uniformitatea și simplitatea arhitecturii Intranet Dacă dezvoltatorii de aplicații pot profita din plin de acest avantaj, atunci la nivel de software și hardware, ei vor fi mulțumiți cu câteva produse ieftine și ușor de învățat Adevărat, este necesar să se adauge la aceasta o strategie de securitate bine gândită și un set holistic de măsuri la nivel procedural Întrebări de control Ce mijloace de autentificare a utilizatorului CS cunoașteți? Enumerați mijloacele de identificare a utilizatorilor CS Ce este un administrator de acces? Enumerați mecanismele de protecție ale sistemelor de protecție software și hardware pentru PC-uri Dă exemple Ce metode de control al integrității software cunoașteți? Enumerați metodele pentru a contracara dezasamblarea Ce este OBI și cum este organizată activitatea sa? Prezentați principalele caracteristici de clasificare a virușilor informatici Indicați tipurile de viruși de fișiere Ce metode, instrumente și tehnologii de combatere a virușilor informatici cunoașteți? Enumerați regulile de bază pentru funcționarea în siguranță a COP Ce asigură integritatea și disponibilitatea informațiilor din CS? Enumerați principalele recomandări pentru asigurarea eficientă a securității informațiilor OS Ce este inferența, agregarea, combinația de interogări? Prezentați principalele metode și mijloace de asigurare a securității informațiilor în rețelele de calculatoare Care este scopul și în ce mod diferă modelele de protocol OSI și TCP/IP? Care este metoda firewall? Enumeraţi principalele metode şi mijloace de protejare a proceselor de prelucrare a informaţiilor pe Internet şi Intranet BIBLIOGRAFIE Bug G Proiectare orientată pe obiecte cu exemple de aplicație / G Bug - M : Concord, Galatenko V I Securitatea informației // Sisteme deschise - M , -Nr ( ) Gerasimenko V A Fundamentele securității informațiilor / V A Gerasimenko, A A Mamok - M : MEPhI, Glazov B I Bazele metodologice ale ingineriei sistemelor informatice-cibernetice / BI Glazov - M : RVSN, Grusho A A Fundamentele teoretice ale protecției informațiilor / A A Grusho, E E Timonin - M : Ed Agenții "Yachsman", Zavgorodniy V I Protecția complexă a informațiilor în sisteme informatice: ghid de studiu / V I Zavgorodniy - M : LOGOS: PBOYUL N A Egorov, Kolmogorov A N Teoria informaţiei şi teoria algoritmilor / A N Kolmogorov - M : Nauka, Krutov S V Protecția în sistemele de operare / S V Krutov, I V Matskevich, V G Proskurin - M : Radio și comunicare, I V Kuz'min, I V Kuz'min, R G Burnazyan și A A Kovergin, Controlul hardware al computerelor digitale - M : Energie, Lovtsov D A Introducere în teoria informațională a sistemelor automate de control /D A Lovtsov - M : Academia Militară F E Dzerjinski, Mamikonov A G Proiectare ACS / A G Mamikonov - M : Superior, școală, Mednovsky I D Atacul prin INTERNET / I D Mednovsky, P V Semyanov, V V Platonov; ed P D Zegzhdy - St Petersburg : Pace și familie, Melnikov V V Protecția informațiilor în sisteme informatice / B V Melnikov - M : Finanțe și statistică: Electroinform, Melnikov V P Securitatea informației: ghid de studiu / V P Melnikov, S A Kleimenov, A M Petrakov; ed S A Kleymenova - M : Ed Centrul "Academia", Moiseev N N Elemente ale teoriei sistemelor optime / N N Moiseev - M : Nauka, Nikolaev V M Ingineria sistemului: metode și aplicații / V M Nikolaev, V M Bruk - L : Inginerie mecanică Leningrad departament, Partyka T L Securitatea informațiilor: manual, manual / T L Partyka, I I Popov - M : Forum: Infra-M, XiaoD Protecția computerului / D Xiao, D Kerr, S Madnik; pe din engleza - M : Mir, Teoria informaţiei şi aplicaţiile ei: Culegere de traduceri / ed A A Harkevici - M : Fizmatizdat, Teoria și practica securității informațiilor / ed P D Zegzhdy - M : Ed Agenții "Yachsman", Torokin A A Fundamentele ingineriei și protecției tehnice a informațiilor / A A Torokin - M : OS- , Ursul A D Calea către noosferă Conceptul de supraviețuire și securitate a dezvoltării civilizației / A D Ursul - M : Mashinostroenie, Figurnov V E PC IBM pentru utilizator / V E Figurnov - M : Infra-M, Kharkevich A A Despre valoarea informaţiei // Probleme de cibernetică / A A Kharkevich - M : Nauka, - Numărul - S - Hoffman L J Metode moderne de protecție a informațiilor: per din engleza / L J Hoffman - M : Sov radio, Shileiko A V Introducere în teoria informațională a sistemelor / A V Shileiko, V F Kochnev, F F Khimushin; ed A V Shileiko - M : Radio și comunicare, Schreider Yu A Despre aspectele semantice ale teoriei informaţiei Informație și cibernetică / Yu A Schrader - M : Sov radio, Shurakov VV Asigurarea securității informațiilor în sistemele de prelucrare a datelor / VV Shurakov - M : Finanțe și statistică, Yuzvishin I I Fundamentele informatiologiei: manual / I I Yuzvishin - Ed a -a, revizuită si suplimentare - M : Vyssh, shk , GOST R - Tehnologia informației Protecția criptografică a informațiilor Proceduri de generare și verificare a unei semnături digitale electronice pe baza unui algoritm criptografic asimetric - M : Rosstandart, Comisia Tehnică de Stat a Rusiei Document de orientare Dotări informatice Firewall-uri Protecție împotriva accesului neautorizat la informații Indicatori de vulnerabilitate de la NSD la informații - M : Jet Info, Doctrina securității informațiilor a Federației Ruse Aprobat de Președintele Federației Ruse la Comun ed ed "Rossiyskaya Gazeta" și Academia Internațională de Informatizare - M : Int ed "Informatiologie", Codul Federației Ruse privind contravențiile administrative - M : Infra-M, Beli D , L La Padula Sistem informatic securizat: Fundația matematică, ESD-TR- - - Vl - MITRE Corporation Lendwehr CE, Heitmeyer CL, McLean J // A security models for military message system - Tranzacții ACM de sisteme informatice, Lendwehr C Modele formale pentru securitatea calculatoarelor Sondaje ACM Computing - Voi - Nr - CUPRINS Cuvânt înainte Lista abrevierilor Capitolul Securitatea informațională a activităților companiei și principalele prevederi ale acesteia Procesele geopolitice și economice informaționale societatea modernă Principalele prevederi de informatizare a societatii și asigurarea siguranței activităților sale Componente ale intereselor naționale ale rusului Federaţiile în sfera informaţională Principalele proprietăți și caracteristici ale securității informațiilor pentru funcționarea sistemelor de management al informației ale întreprinderilor și firmelor Furnizare cuprinzătoare de securitate a informațiilor pentru stat și organizațional structuri Principalele prevederi ale politicii publice asigurarea RF IS Sistem de întreținere RF IS, principalele sale funcții şi cadrul organizatoric Metode generale de asigurare a RF IS Caracteristici de întreținere RF IS în diverse domenii viaţa comunităţii Organizațional, fizic și tehnic, informațional şi ameninţări software-matematice Amenințări complexe și globale la adresa activităților de securitate a informațiilor Umanitatea şi Societăţile Surse de amenințări RF IS Capitolul Suportul organizatoric și juridic al securității informațiilor Reglementarea legală a fluxurilor de informații în diverse tipuri de activități ale companiei Acte juridice și de reglementare internaționale și interne furnizarea IS a proceselor de prelucrare a informațiilor Acte juridice și de reglementare internaționale asigurarea securităţii informaţiei Internă organizatorică, juridică și de reglementare securitate și reglementare în domeniul securității informațiilor Reglementare organizatorică de protecție a proceselor de prelucrare Informaţii Clasificarea obiectelor și protecția informațiilor Proprietate Răspunderea pentru încălcarea legii în sfera informaţională Capitolul Bazele metodologice pentru asigurarea securității informaționale a vieții societății și a structurilor acesteia Abordări moderne pentru asigurarea soluționării problemelor de securitate a informațiilor activităţile societăţii Metodologia războiului informaţional Scopurile, obiectivele, caracteristicile și conținutul geopoliticului confruntare informaţională Tehnologii de manipulare a informaţiei Tehnologii de război informațional pe Internet şi analiza acestora Domenii şi obiecte de protecţie a activităţii informaţionale în întreprinderi și organizații Domenii și sfere de asigurare a securității informațiilor întreprinderilor şi organizaţii Obiecte industriale și sociale de protecție activitatea informațională și asigurarea securității informațiilor Tehnologii de securitate a procesării informației în managementul obiectelor informaţionale Abordări moderne ale tehnologiilor și metodelor asigurarea securității informațiilor în întreprinderi Tehnologii pentru prevenirea amenințărilor la adresa activităților de securitate a informațiilor întreprinderi Metode și mijloace de oprire a amenințărilor Metode și mijloace de neutralizare a amenințărilor capitolul Bazele metodologice ale suportului tehnic pentru protecția proceselor de prelucrare și control a informațiilor eficacitatea acestuia Sisteme de alertă la intruziune Sisteme de identificare a intrușilor Protecţia mecanică a obiectului Automatizarea controlului tehnic al protecției debitului informaţii Abordări cuprinzătoare și sistematice pentru asigurarea securității informațiilor obiectelor, mijloace tehnice şi persoane fizice ' Metodologia și conținutul întreținerii SI cu o abordare integrată și sistematică Implementarea sistemului de protecție a proceselor de prelucrare informații despre obiectele individuale ale sistemelor de management al informațiilor Probleme generale de organizare a contracarării informaţiei și agresiune tehnică Protecția mijloacelor și instalațiilor tehnice ale întreprinderilor împotriva scurgerilor de informații și a accesului neautorizat Eficiența protecției proceselor de prelucrare a informațiilor şi metodologia de calcul a acesteia Capitolul Instrumente hardware și software pentru asigurarea SI pentru funcționarea organizațiilor Metode și mijloace de restricționare a accesului la componentele computerului Protecția software și hardware a computerului Metode și mijloace de restricționare a accesului la componente CALCULATOR Protecția hardware și software pentru PC Metode și mijloace de organizare a depozitării și prelucrarea informațiilor în CS Protejarea software-ului de control, infecție cu viruși, acțiuni și modificări software distructive Principalele caracteristici de clasificare ale computerului virusuri Unii viruși informatici Metode și tehnologii de combatere a calculatorului virusuri Condiții de funcționare sigure CS și tehnologie de detectare infecție cu virus Controlul integrității și problemele de securitate ale sistemului programe şi date software și hardware IS în sistemele de operare tipice, SGBD și rețele de calculatoare Principalele prevederi ale software-ului și hardware-ului și suport organizațional al securității informațiilor în sistemele de operare Protecția proceselor de prelucrare a informațiilor în SGBD Asigurarea securității informațiilor în DOS și WINDOWS Asigurarea securității informațiilor în sistemul de operare Linux și UNIX software și hardware IS în reţelele de calculatoare Metode și mijloace de protejare a proceselor de prelucrare informații în segmentele locale și externe ale CS Protecția proceselor de prelucrare a informațiilor pe Internet şi Intranet Referințe Ediție educațională Melnikov Vladimir Pavlovici Kleymenov Serghei Anatolievici Petrakov Alexander Mihailovici Securitatea informațiilor și protecția informațiilor Tutorial Editat de S A Kleymenov Ediția a -a stereotipă Editor E A Balyko Editor tehnic E F Korzhueva Corectare computer: V A Kryzhko Corectori T V Kuzmina, I V Mogilevets Izd Nr Semnat si sigilat la Format x / Căști "The Times" Hartie offset nr Imprimare offset fiule cuptor L, , Tiraj de exemplare Ordinul nr Centrul Izdatelsky "Akademiya", www acadcmia-moscow ru Concluzia sanitar-epidemiologică Nr Д din , Moscova, str Butlerova, -B, k Tel /Fax: ( ) - , - Tipărită la OJSC "Saratovsky Poligrafkombinat" , g Saratov, strada Chernyshevskogo, www sarpk ru https://neculaifantanaru com/en/leadership-skills-and-abilities html